Le site Have I Been Pwned est devenu essentiel au fonctionnement d’Internet. Fort de ses 8 milliards de comptes répertoriés, il permet à quiconque de vérifier si ses données ont été victimes de fuites. Depuis plus d’un an, son responsable Troy Hunt a entamé une collaboration poussée avec Firefox et les premiers résultats sont bien là avec l’apparition du très utile Firefox Monitor.
Ce nouvel outil est plutôt simple d’utilisation. Lorsque vous vous rendez sur un site victime de piratage de données, vous recevez une notification. Vous êtes alors invité à vous rendre sur Firefox Monitor pour vérifier votre adresse e-mail et voir si elle est concernée. Fort de cet acquis Mozilla veut accélérer le mouvement et sa collaboration avec Hunt. À partir de la version 70 du navigateur, soit autour du mois d’octobre, Monitor sera intégré à Lockwise, le gestionnaire de mots de passe de Firefox.
L’automatisation de l’alerte représente une belle avancée
Concrètement, tous les e-mails et mots de passe sauvegardés seront reliés à la base de données de Have I Been Pwned et les utilisateurs seront alertés lorsque leurs logins auront été compromis. Il leur sera alors conseillé de changer au plus vite leurs mots de passe. C’est une réelle avancée car même sans se rendre directement sur le site impacté, le simple fait que le vol ait eu lieu permettra d’en être informé. Il peut en effet arriver de s’inscrire sur un site des années auparavant sans en garder le moindre souvenir ni même y retourner.
La limite de ce futur outil est qu’il ne sera pas rétroactif. Autrement dit, il faudra toujours vérifier manuellement son compte pour voir s’il a été exposé à des fuites de données plus anciennes. Cette automatisation de l’alerte représente en tout cas une belle avancée. Ces piratages deviennent en effet si fréquents que nous cessons parfois d’y prêter attention. Cet outil sera désormais là pour nous forcer à rester vigilant.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
Cher firefox,
Je ne suis pas fervent de cette effervescence du nouveau Checking-model de mes mots de passe de banques avec une copie direct des enregistrements jusqu’à la base de données d’un site hébergé par on ne sait pas trop qui au juste.
Est-ce qu’il y aura une option pour ne pas passer ses mots de passe au validateur ou bien ce sera appliquer sans penser au conséquence de la possible compromision de cette copie de ses mots de passe de banque et du transfert jusqu’à la validation du sites web qui fait 87 Go de données.
Que ce soit de la compromision par un script, une attaque man-in-the-middle, du sniffer packet ou par la base sqlite…