En novembre dernier, nous vous annoncions que les ingénieurs de Mozilla travaillaient sur une fonctionnalité à venir dans Firefox qui va prévenir les visiteurs d’un site si leurs informations d’identifications ont été compromises. Le système de notification va s’appuyer sur la base de données de Have I Been Pwned ?, le site Web développé par le chercheur en sécurité Troy Hunter qui indexe les violations de données publiques et permet aux utilisateurs de rechercher et de voir si leurs données ont été compromises dans l'un de ces incidents.À ce moment là, l’outil n’était encore qu’un prototype et le système se résumait à afficher une barre de notification lorsqu’un utilisateur visite un site enregistré sur haveibeenpwned.com comme ayant été violé. Le système comprenait également un champ de saisie. Il faut dire que ce champ ne faisait rien, mais nous avons supposé qu'il est là pour permettre aux utilisateurs d’effectuer des recherches et voir si leurs données ont été exposées pendant la violation de sécurité du site qu’ils visitent.
Cette fois-ci, Mozilla a annoncé que dans les semaines à venir, il lancera son outil Firefox Monitor qui renverra les résultats du service Have I Been Pwned (HIBP). Firefox Monitor sera initialement ouvert à environ 250 000 utilisateurs, principalement aux États-Unis, avec un calendrier de diffusion à suivre une fois les tests terminés.
Commentant cette annonce, Troy Hunt a indiqué « qu’en novembre dernier, la presse a beaucoup relayé le fait que Mozilla va intégrer HIBP dans Firefox. J'étais un peu surpris à l'époque car ce n'était rien de plus que leur fonctionnalité Breach Alerts qui mettait simplement en évidence si le site visité avait déjà été victime d'une violation de données (il le tire de l'API HIBP). Mais la presse a repris quelques signaux qui indiquaient qu'à long terme, nous avions des projets plus ambitieux que cela et toute l'affaire a reçu trop d'attention. J'ai fini par lancer un tas d'appels médiatiques juste pour parler de cette petite fonctionnalité - les gens ont aimé l'idée de HIBP dans Firefox, même sous une forme très simple. En fin de compte, nous avions des plans beaucoup plus ambitieux et c'est ce que je partage ici aujourd'hui ».
Pour Hunt, cet outil est important « parce que Firefox dispose d'une base d'installation de centaines de millions de personnes qui élargit considérablement l'audience qui peut être atteinte une fois que cette fonctionnalité sera généralisée ».
Voici comment l’outil fonctionne
Plutôt que de passer toute l'adresse e-mail en texte brut de Firefox Monitor à HIBP, l’outil va se servir de k-Anonymity de Cloudflare, qui envoie les six premiers caractères d'un hachage SHA-1 à HIBP, et est renvoyé avec les hachages correspondants le préfixe. Hunt a déclaré qu'en moyenne 185 hachages sont retournés.
Il a précisé que « Quand cette fonctionnalité a été lancée, Cloudflare a fait du bon travail sur un modèle "k-anonymity" qui fonctionne comme ceci : lors de la recherche d'un mot de passe HIBP, le client SHA-1 en fait un hash puis prend les cinq premiers caractères qu’il envoie à l'API. En réponse, une collection de hachages est retournée qui correspond à ce préfixe (477 en moyenne). En regardant le préfixe de hachage envoyé au service, je n'ai aucune idée de ce que le mot de passe est. Cela pourrait être n'importe lequel de ces 477 hash ou cela pourrait être quelque chose de totalement différent, je ne sais pas. Bien sûr, je pourrais toujours spéculer sur la base de la prévalence de chaque mot de passe, mais ce ne serait jamais rien de plus que cela - la spéculation ».
Pour des besoins de vie privée, Hunt a expliqué qu’il devait décider du nombre de caractères du hachage SHA-1 pour permettre la recherche de manière à ce qu'un nombre suffisamment important soit retourné pour n'avoir aucun moyen raisonnable de savoir quelle adresse était recherchée. Dans le même temps il fallait tenir compte du fait que le système devait pour répondre rapidement.
« Pour les mots de passe Pwned, ce nombre était de 5 caractères, ce qui donnait 16 ^ 5 plages de recherche possibles, ce qui, sur un ensemble de données de 500M, signifiait les 477 résultats susmentionnés par plage. Cependant, si j'avais utilisé 5 caractères avec les adresses e-mail 3.1B, chaque plage contiendrait une moyenne de presque 3K résultats qui commence à devenir assez important. Raison pour laquelle j’ai décidé de partir sur la base de 6 caractères, ce qui signifie 16 ^ 6 gammes possibles avec une moyenne de 185 résultats par gamme ».
API publique ou privée ?
Hunt a avancé qu’il y a une raison fondamentalement importante (et peut-être tout à fait évidente) pour laquelle il ne s'attend pas à ce que ce service soit rendu public : il pourrait accélérer massivement les activités de recensement.
« En 2016, j'ai mis en place une limite de débit sur l'API publique afin de réduire considérablement les risques d'abus du service. Cela signifiait que la capacité de vérifier les dossiers était limitée à 1 demande tous les 1 500 ms. Si je devais offrir publiquement le service k-anonymity, cela passerait massivement à 185 tous les 1 500 ms (un nombre qui augmentera tandis que le feront les données) parce que c'est le nombre de résultats qui sont retournés. En toute honnêteté, vous ne récupéreriez que des suffixes hachés d'adresses e-mail, mais si quelqu'un en avait une liste massive (et c'est l'un des schémas clés que la limite de taux est censée limiter), ils pourraient hacher le lot, se saisir des 6 premiers caractères de chacun et récupérez tout un tas de résultats en une seule fois. Certes, ils n'auraient presque certainement pas les adresses e-mail source des 185 suffixes renvoyés, mais ils fournissent toujours un vecteur pour accélérer considérablement les taux de recherche ».
Dans le même temps, Hunt a déclaré que 1Password utilisait les mêmes techniques pour permettre à ses utilisateurs d’interroger HIBP à partir de la version web de 1Password.
En mars, Hunt a annoncé que les centres de cybersécurité du Royaume-Uni et de l'Australie utilisaient HIBP pour surveiller tous les domaines gouvernementaux en ce qui concerne les adresses e-mail départementales qui ont été compromises.
« Le gouvernement britannique peut interroger n'importe quel domaine .gov.uk à la demande et le gouvernement Australien peut interroger n'importe quel domaine .gov.au à la demande.Ils peuvent aussi interroger une petite poignée de domaines en liste blanche sur différents TLD, par exemple, The Commonwealth Scientific et l'Organisation de Recherche Industrielle (CSIRO) fonctionne sur csiro.au afin que ce domaine soit ajouté à la liste blanche pour l'ACSC en plus du TLD .gov.au », avait indiqué Hunt à l'époque.
Le mois dernier, Mozilla a publié Firefox 60, qui prétendait être le premier navigateur à prendre en charge l'API Web Authentication qui permet actuellement d'utiliser YubiKeys à la place des mots de passe. Mozilla espère pouvoir prendre en charge l'authentification via les téléphones mobiles et la biométrie.
Source : billet Hunt
Voir aussi :
Project Fusion : Mozilla voudrait implémenter Tor directement dans Firefox et proposer aux utilisateurs un super mode de navigation privée 86 % des MdP disponibles en clair de la société CashCrate avaient déjà été compromis, Troy Hunt s'indigne des mauvaises pratiques dans l'industrie USA : Mozilla va commencer à afficher des contenus sponsorisés dans Firefox 60, dont la sortie est prévue pour le 9 mai Google, Apple, Microsoft et Mozilla s'opposent formellement à une décision du W3C, qui veut avancer dans le processus de standardisation de DOM 4.1 Troy Hunt annonce la disponibilité de la version V2 de Pwned Passwords, une base de données qui peut être utilisée pour mieux protéger ses systèmes 
