Présentation de “Have I Been Pwned”

Aujourd’hui, j’aimerais vous parler du site internet haveibeenpwned.com/ créé par Troy Hunt et l’usage que j’en ai.

Lorsque vous travaillez pour une organisation, il est important d’avoir mis en place une politique concernant les mots de passe. En effet, ceux-ci permettent d’accéder à des services, qui, s’ils sont accédés par de mauvaises personnes, peuvent avoir des conséquences importantes.

Malheureusement, même les utilisateurs qui respectent scrupuleusement la politique mise en place dans votre organisation encourent des risques concernant leurs mots de passe. En effet, il est possible que le service nécessitant un mot de passe pour être accédé se soit fait piraté et que la liste des mots de passe soit désormais dans la nature. Dans ces cas-là, le plus important est d’identifier rapidement les comptes concernés et de demander aux utilisateurs de changer les mots de passe en question.

Le problème qui se pose est que le suivi des actualités des fuites de données et la vérification de l’absence de compte concernée dans l’organisation qui s’en suit sont des tâches laborieuses. C’est à ce moment-là qu’entre en scène le site haveibeenpwned.com.

Dans cet article, je vais vous présenter les fonctionnalités que j’utilise ainsi que celles que je n’utilise pas, mais qui peuvent présenter un intérêt pour vous. Cette liste n’est pas exhaustive et je l’ai construite à partir de mes besoins.

Les fonctionnalités que j’utilise

La recherche à partir d’une adresse email

Ce service vous permet rapidement, en écrivant une adresse email, de savoir s’il y a une base de données ayant fuité la contient. Il est également indiqué les autres données rattachées à cet identifiant comme le mot de passe et les informations personnelles.

C’est fonctionnalité est également utile en tant qu’auditeur de sécurité. Les utilisateurs ont la mauvaise habitude de réutiliser leur mot de passe. Une fois en possession d’un de mot de passe, vous êtes en mesure de le tester sur d’autres comptes et de l’analyser pour en identifier une méthodologie de construction.

La recherche à partir d’un nom de domaine

Dans le cadre d’une organisation, on peut avoir des milliers d’adresses email à protéger. C’est pourquoi le site propose d’étendre la recherche à tous les emails rattachés au nom de domaine.

Pour utiliser cette fonctionnalité, vous devez justifier de la possession du nom de domaine. Le site propose différent moyen:

  • par email en choisissant de recevoir un email de confirmation sur une de ces adresses :
    • security@example.com
    • hostmaster@example.com
    • postmaster@example.com
    • webmaster@example.com
  • par meta tag en ajouter un tag sur le serveur HTTP qui associé aux champs du nom de domaine- en téléversant un fichier à la racine du /
  • en ajoutant un enregistrement de type texte dans le DNS

Une fois cette vérification réalisée, vous avez la possibilité de recevoir les adresses email ainsi que les types de données qui ont fuité ainsi que l’origine de la fuite.

Vous pouvez également demander à être prévenu en cas de fuite de données future.

Les dictionnaires de mots de passe

Il est possible de récupérer une version hachée en SHA1 et/ou NTLM de tous les mots de passe compilés par le site. À ce jour, cet immense dictionnaire compte plus de 551 milliards de mots de passe. Il peut être utilisé afin de compléter la vérification de la qualité des mots de passe saisie par vos utilisateurs.

En effet, en comparant le hash de celui-ci avec le dictionnaire, vous pouvez vérifier si le mot de passe choisi par l’utilisateur est présent dans le dictionnaire et, le cas échéant, demander à l’utilisateur d’en choisir un autre.

Les dictionnaires sont accessibles en bas de la page suivante : https://haveibeenpwned.com/Passwords

Les fonctionnalités que je n’utilise pas

La vérification de la qualité d’un mot de passe

Bien que cette fonctionnalité, haveibeenpwned.com/Passwords, puisse sembler intéressante et que le service proposé est bien réalisé. Il ne faut jamais saisir un mot de passe dans un autre service que celui auquel il est destiné (hors coffre-fort de mot de passe).

En raison de son caractère sensible, le site haveibeenpwned.com est une cible privilégiée. Comme tous les sites, il peut être compromis et votre mot de passe peut s’ajouter à la liste des milliards de mots de passe déjà référencés.

Si vous avez un doute concernant un de vos mots de passe, remplacez-le par un nouveau mot de passe généré aléatoirement et d’une taille suffisante. Il sera beaucoup plus sûr et efficace et vous permettra de vous prémunir dans les cas d’une fuite de données non identifiée et/ou communiquée.

L’API

Le site met à disposition une API payante pour 3.5 $ par mois et qui permet d’accéder au service de vérification du hash par requête https. La fonctionnalité la plus intéressante selon moi est le test de présence d’un mot de passe. Il suffit d’envoyer les n premiers caractères du hash d’un mot de passe et l’API retourne tous les hashs qui correspondent. Cela permet d’éviter de les communiquer et de comparer en local les hashs proposés avec ceux transmis par l’API.

Conclusion

Le site haveibeenpwned.com propose des services très utiles afin de vous aider à améliorer vos politiques de sécurité concernant les mots de passe.

2 thoughts on “Présentation de “Have I Been Pwned””

Leave a Comment