Il sera possible de vérifier en ligne si son mot de passe a été piraté et découvert lors d’une enquête du FBI.

La police d’enquête fédérale américaine va reverser les mots de passe des victimes de vol de données sur le site Have I Been Pwned, a rapporté Numerama. L’outil a déjà été employé par le FBI le mois dernier pour permettre à chacun de vérifier l’éventuelle présence de ses données personnelles dans des listes des données volées saisies lors d’une enquête sur le gang de hackers Emotet.

Pour rappel, Have I Been Pwned (ou HIBP) permet d’entrer son adresse e-mail ou son numéro de téléphone et de savoir si ceux-ci figurent dans diverses brèches de données personnelles répertoriées par le site. Une sous-section appelée Pwnd Password permet d’entrer son mot de passe pour vérifier s’il ne figure pas également dans une fuite. C’est dans cette section plus précisément que les données fournies par le FBI seront accessibles.

Pour sécuriser le tout, le FBI ne versera que les mots de passe et rien d’autre permettant d’identifier leurs possesseurs. Pour renforcer encore plus la sécurité de ces données, les informations seront hachées. C’est-à-dire qu’elles seront chiffrées de manière à ce que l’on puisse savoir si un mot de passe fait partie de la liste, sans qu’il doive y figurer.  En effet, en l’écrivant manuellement dans le moteur de recherche du site, on génère un chiffrement identique à celui inscrit dans la liste. Un tel chiffrement peut rapidement être cracké grâce à un ordinateur si les mots de passe sont peu complexes, c’est pour ça qu’il est toujours recommandé de complexifier son mot de passe et de l’adapter à chaque service.

HIBP fournit également une API, notamment pour les entreprises et les gouvernements qui voudraient avoir accès à la base de données, sans pour autant la leur transmettre. C’est particulièrement utile pour vérifier automatiquement si les mots de passe des employés sont compromis.

Des centaines de fuites différentes sont répertoriées par HIBP grâce à un référencement nourri par son créateur Troy Hunt et par de nombreux contributeurs – parfois anonymes – en possession de données volées. Le FBI devient ainsi le premier organisme officiel à collaborer avec le site.

Le mot de passe « 1234 » – à ne jamais utiliser – a par exemple été hacké plus de 1 371 079 fois.

HIBP n’est pas tout à fait légal, car il traite et répertorie des données à caractère personnel volées, mais il bénéficie d’un passe-droit tacite de la part des états, car le site remplit un autre droit consistant à informer les citoyens sur la publicité éventuelle de leurs données personnelles. De plus, le site est depuis peu open source, ce qui signifie que son code est accessible de façon 100% transparente, de quoi rassurer les autorités.