Discussion :

[Stéphane le calme]

Firefox va prévenir les utilisateurs si leurs informations d'identifications ont été compromises,
Mozilla travaille de concert avec Troy Hunt pour y arriver

Les ingénieurs de Mozilla travaillent sur une fonctionnalité qui sera bientôt incorporée dans Firefox et qui va prévenir les visiteurs d’un site si leurs informations d’identifications ont été compromises. Le système de notification va s’appuyer sur la base de données de Have I Been Pwned ?, le site Web développé par le chercheur en sécurité Troy Hunter qui indexe les violations de données publiques et permet aux utilisateurs de rechercher et de voir si leurs données ont été compromises dans l'un de ces incidents.

L’outil est en cours de prototypage et pour le moment, le système se résume à afficher une barre de notification lorsqu’un utilisateur visite un site enregistré sur haveibeenpwned.com comme ayant été violé. Le système comprend également un champ de saisie. Dans la version actuelle des add-ons, ce champ ne fait rien, mais nous supposons qu'il est là pour permettre aux utilisateurs d’effectuer des recherches et voir si leurs données ont été exposées pendant la violation de sécurité du site qu’ils visitent.

« C'est un add-on que je vais utiliser pour le prototypage d'une fonctionnalité à venir dans Firefox qui informe les utilisateurs que leurs informations d'identification ont éventuellement été impliquées dans une violation de données », a expliqué le développeur de Mozilla Nihanth Subramanya dans son référentiel Github.

« J'ai choisi d'en faire un add-on hérité pour le rendre plus facile à porter dans mozilla-central à l'avenir – il impliquera probablement du code de manipulation de la fenêtre. »

Le travail technique sur la fonctionnalité semble avoir commencé plus tôt cette semaine. Il n'y a pas de date de sortie actuelle pour la fonction. Le code de cet add-on est disponible sur GitHub, et n'importe qui peut le compiler et l'importer dans Firefox. Seule Firefox Developer Edition est actuellement supportée.

« J'ai travaillé avec Mozilla à ce sujet », a déclaré Troy Hunt, assurant que les deux parties sur la façon dont la mécanique du dispositif va se comporter. Les deux problèmes principaux sont la confidentialité des données d'un utilisateur et l'architecture technique de la fonction.

« Il y a plusieurs façons de faire cela, et nous devons travailler de manière à ce que ce soit durable. Alors, je pourrai continuer à gérer le site web et nous allons aborder correctement l'aspect de la vie privée. »

« Nous examinons quelques modèles différents pour savoir comment cela pourrait fonctionner, la principale conclusion à l'heure actuelle est qu'il y a une intention de faire apparaître les données sur l'exposition directement dans le navigateur », a-t-il ajouté.

Les deux entités vont également s’intéresser sur la façon de collecter l'adresse e-mail d'un utilisateur Firefox dans le but d'interroger la base de données de violation.

« Il faut être conscient du droit à la vie privée d’un individu et ne pas se contenter d’envoyer son adresse e-mail à haveibeenpwned.com juste parce qu'ils naviguent vers un site Web », a déclaré Hunt.

« Nous voulons d'abord trouver la bonne expérience utilisateur, puis déterminer quelle est l'architecture technique, nous commençons tout juste à explorer les possibilités. »

Hunt a déclaré qu'il avait été intéressé par le partenariat parce qu'il était conforme aux principes du site Web hasibeenpwned. « J'ai vraiment aimé l'idée : lorsque j'ai développé cela, la prémisse était de savoir comment sensibiliser et atteindre plus de gens à propos de leur exposition, l'intégration dans l'un des plus grands navigateurs du monde est une excellente façon de le faire. »

Toutefois, il a précisé qu’aucune discussion n’était en cours avec d’autres éditeurs de navigateurs Web.

Se rendre sur le dépôt GitHub

Source : Troy Hunt

Et vous ?

Que pensez-vous de cette fonctionnalité ?

[Tartare2240]

Même si des fois j'adore cracher sur Microsoft & cie, j'avoue que j'ai une très grande estime pour Troy Hunt et ce qu'il fait, et encore plus maintenant.

[Stéphane le calme]

Mozilla se prépare à tester un outil pour prévenir ses utilisateurs si leurs informations d'identifications ont été compromises,
de concert avec Troy Hunt

En novembre dernier, nous vous annoncions que les ingénieurs de Mozilla travaillaient sur une fonctionnalité à venir dans Firefox qui va prévenir les visiteurs d’un site si leurs informations d’identifications ont été compromises. Le système de notification va s’appuyer sur la base de données de Have I Been Pwned ?, le site Web développé par le chercheur en sécurité Troy Hunter qui indexe les violations de données publiques et permet aux utilisateurs de rechercher et de voir si leurs données ont été compromises dans l'un de ces incidents.

À ce moment là, l’outil n’était encore qu’un prototype et le système se résumait à afficher une barre de notification lorsqu’un utilisateur visite un site enregistré sur haveibeenpwned.com comme ayant été violé. Le système comprenait également un champ de saisie. Il faut dire que ce champ ne faisait rien, mais nous avons supposé qu'il est là pour permettre aux utilisateurs d’effectuer des recherches et voir si leurs données ont été exposées pendant la violation de sécurité du site qu’ils visitent.

Cette fois-ci, Mozilla a annoncé que dans les semaines à venir, il lancera son outil Firefox Monitor qui renverra les résultats du service Have I Been Pwned (HIBP). Firefox Monitor sera initialement ouvert à environ 250 000 utilisateurs, principalement aux États-Unis, avec un calendrier de diffusion à suivre une fois les tests terminés.

Commentant cette annonce, Troy Hunt a indiqué « qu’en novembre dernier, la presse a beaucoup relayé le fait que Mozilla va intégrer HIBP dans Firefox. J'étais un peu surpris à l'époque car ce n'était rien de plus que leur fonctionnalité Breach Alerts qui mettait simplement en évidence si le site visité avait déjà été victime d'une violation de données (il le tire de l'API HIBP). Mais la presse a repris quelques signaux qui indiquaient qu'à long terme, nous avions des projets plus ambitieux que cela et toute l'affaire a reçu trop d'attention. J'ai fini par lancer un tas d'appels médiatiques juste pour parler de cette petite fonctionnalité - les gens ont aimé l'idée de HIBP dans Firefox, même sous une forme très simple. En fin de compte, nous avions des plans beaucoup plus ambitieux et c'est ce que je partage ici aujourd'hui ».

Pour Hunt, cet outil est important « parce que Firefox dispose d'une base d'installation de centaines de millions de personnes qui élargit considérablement l'audience qui peut être atteinte une fois que cette fonctionnalité sera généralisée ».

Voici comment l’outil fonctionne

Plutôt que de passer toute l'adresse e-mail en texte brut de Firefox Monitor à HIBP, l’outil va se servir de k-Anonymity de Cloudflare, qui envoie les six premiers caractères d'un hachage SHA-1 à HIBP, et est renvoyé avec les hachages correspondants le préfixe. Hunt a déclaré qu'en moyenne 185 hachages sont retournés.

Il a précisé que « Quand cette fonctionnalité a été lancée, Cloudflare a fait du bon travail sur un modèle "k-anonymity" qui fonctionne comme ceci : lors de la recherche d'un mot de passe HIBP, le client SHA-1 en fait un hash puis prend les cinq premiers caractères qu’il envoie à l'API. En réponse, une collection de hachages est retournée qui correspond à ce préfixe (477 en moyenne). En regardant le préfixe de hachage envoyé au service, je n'ai aucune idée de ce que le mot de passe est. Cela pourrait être n'importe lequel de ces 477 hash ou cela pourrait être quelque chose de totalement différent, je ne sais pas. Bien sûr, je pourrais toujours spéculer sur la base de la prévalence de chaque mot de passe, mais ce ne serait jamais rien de plus que cela - la spéculation ».

Pour des besoins de vie privée, Hunt a expliqué qu’il devait décider du nombre de caractères du hachage SHA-1 pour permettre la recherche de manière à ce qu'un nombre suffisamment important soit retourné pour n'avoir aucun moyen raisonnable de savoir quelle adresse était recherchée. Dans le même temps il fallait tenir compte du fait que le système devait pour répondre rapidement.

« Pour les mots de passe Pwned, ce nombre était de 5 caractères, ce qui donnait 16 ^ 5 plages de recherche possibles, ce qui, sur un ensemble de données de 500M, signifiait les 477 résultats susmentionnés par plage. Cependant, si j'avais utilisé 5 caractères avec les adresses e-mail 3.1B, chaque plage contiendrait une moyenne de presque 3K résultats qui commence à devenir assez important. Raison pour laquelle j’ai décidé de partir sur la base de 6 caractères, ce qui signifie 16 ^ 6 gammes possibles avec une moyenne de 185 résultats par gamme ».

API publique ou privée ?

Hunt a avancé qu’il y a une raison fondamentalement importante (et peut-être tout à fait évidente) pour laquelle il ne s'attend pas à ce que ce service soit rendu public : il pourrait accélérer massivement les activités de recensement.

« En 2016, j'ai mis en place une limite de débit sur l'API publique afin de réduire considérablement les risques d'abus du service. Cela signifiait que la capacité de vérifier les dossiers était limitée à 1 demande tous les 1 500 ms. Si je devais offrir publiquement le service k-anonymity, cela passerait massivement à 185 tous les 1 500 ms (un nombre qui augmentera tandis que le feront les données) parce que c'est le nombre de résultats qui sont retournés. En toute honnêteté, vous ne récupéreriez que des suffixes hachés d'adresses e-mail, mais si quelqu'un en avait une liste massive (et c'est l'un des schémas clés que la limite de taux est censée limiter), ils pourraient hacher le lot, se saisir des 6 premiers caractères de chacun et récupérez tout un tas de résultats en une seule fois. Certes, ils n'auraient presque certainement pas les adresses e-mail source des 185 suffixes renvoyés, mais ils fournissent toujours un vecteur pour accélérer considérablement les taux de recherche ».

Dans le même temps, Hunt a déclaré que 1Password utilisait les mêmes techniques pour permettre à ses utilisateurs d’interroger HIBP à partir de la version web de 1Password.

En mars, Hunt a annoncé que les centres de cybersécurité du Royaume-Uni et de l'Australie utilisaient HIBP pour surveiller tous les domaines gouvernementaux en ce qui concerne les adresses e-mail départementales qui ont été compromises.

« Le gouvernement britannique peut interroger n'importe quel domaine .gov.uk à la demande et le gouvernement Australien peut interroger n'importe quel domaine .gov.au à la demande.Ils peuvent aussi interroger une petite poignée de domaines en liste blanche sur différents TLD, par exemple, The Commonwealth Scientific et l'Organisation de Recherche Industrielle (CSIRO) fonctionne sur csiro.au afin que ce domaine soit ajouté à la liste blanche pour l'ACSC en plus du TLD .gov.au », avait indiqué Hunt à l'époque.

Le mois dernier, Mozilla a publié Firefox 60, qui prétendait être le premier navigateur à prendre en charge l'API Web Authentication qui permet actuellement d'utiliser YubiKeys à la place des mots de passe. Mozilla espère pouvoir prendre en charge l'authentification via les téléphones mobiles et la biométrie.

Source : billet Hunt

Voir aussi :

Project Fusion : Mozilla voudrait implémenter Tor directement dans Firefox et proposer aux utilisateurs un super mode de navigation privée
86 % des MdP disponibles en clair de la société CashCrate avaient déjà été compromis, Troy Hunt s'indigne des mauvaises pratiques dans l'industrie
USA : Mozilla va commencer à afficher des contenus sponsorisés dans Firefox 60, dont la sortie est prévue pour le 9 mai
Google, Apple, Microsoft et Mozilla s'opposent formellement à une décision du W3C, qui veut avancer dans le processus de standardisation de DOM 4.1
Troy Hunt annonce la disponibilité de la version V2 de Pwned Passwords, une base de données qui peut être utilisée pour mieux protéger ses systèmes

[tanaka59]

Pour être efficace à 99% le site devrait aussi tenir compte des alias des adresses mails ... histoire de ratisser large.