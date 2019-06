Have I Been Pwned (HIBP), la plus importante archive de données volées au monde, est à vendre, a annoncé (Nouvelle fenêtre) son fondateur Troy Hunt.

Loin d’être un service clandestin, ce site web très respecté dans le domaine de la cybersécurité offre un service permettant de vérifier gratuitement si l’une de ses adresses courriel a été dérobée par des pirates.

HIBP répertorie 8 milliards de comptes compromis, et 3 millions de personnes se sont inscrites pour recevoir des alertes en cas de fuite de données. « 150 000 visiteurs uniques consultent le site lors d’une journée normale et 10 millions lors d’une journée anormale », affirme Troy Hunt.

« [Ce site] est tellement important dans le milieu de la cybersécurité, affirme Luc Lefebvre, expert en cybersécurité et cofondateur de Crypto.Québec. Ça devrait pratiquement être un service public. »

Or, Troy Hunt, le fondateur et l’unique employé de HIBP, n’arrive plus à gérer les tâches quotidiennes liées au site et le flot constant de nouvelles banques de données volées, les brèches semblant se multiplier ces dernières années.

« Chaque entrevue avec les médias, chaque demande de soutien et, franchement, pratiquement tout ce que vous pouvez imaginer a été accompli par une seule personne dans ses temps libres », explique M. Hunt.

« Je commençais à m’apercevoir de plus en plus que j’étais potentiellement l’unique point de défaillance. Et ça doit changer », ajoute Troy Hunt pour justifier sa décision de mettre HIBP en vente.

La communauté de la cybersécurité inquiète

L’éventualité que HIBP ne soit plus la propriété de Troy Hunt, un expert en cybersécurité réputé et très respecté, inquiète les experts et ceux qui utilisent son service.

Luc Lefebvre mentionne que jusqu’ici, ce service était géré par un militant en qui cette communauté avait confiance. M. Hunt a toujours offert son service gratuitement et ne semble pas avoir de conflit d’intérêts, notamment quant à l’utilisation des données contenues dans les banques de données volées.

« Qui va acquérir ça? On ne sait pas si ce seront des intérêts privés, une entreprise dans le milieu de la cybersécurité ou l’un des GAFAM [Google, Amazon, Facebook, Apple et Microsoft] », se demande Luc Lefebvre.

« L’entreprise qui va acquérir [HIBP] va commencer à accumuler des banques de données qui ont fuité, poursuit-il. Est-ce qu’on veut lui donner accès à des banques de données qui ne lui appartenait pas à la base? »

Les comptes volés peuvent en effet contenir de nombreuses informations personnelles dont certaines entreprises privées sont friandes et qui pourraient potentiellement rapporter à celles-ci beaucoup d’argent.

L’intérêt public avant tout

Luc Lefebvre croit que dans un monde idéal, la personne ou le groupe qui mettra la main sur HIBP devrait placer ce service au-delà de ses intérêts pécuniaires.

« Ça doit être quelqu’un en qui les gens ont confiance et ça ne doit pas être fait dans un but lucratif, explique M. Lefebvre. Le scénario idéal ce serait qu’un regroupement ou un organisme de défense de la vie privée réputé en fasse l’acquisition et l’offre gratuitement sans l’intégrer à son modèle d’affaires. Je pense à des groupes comme l’Electronic Frontier Foundation, Tor ou même Open Whisper Systems, qui a conçu Signal. »

Dans un billet de blogue (Nouvelle fenêtre) exposant ses motivations, Troy Hunt admet qu’il ne sait pas quelle forme prendra HIBP après sa vente. Il s’engage toutefois à ne vendre le site que si certaines conditions sont respectées : il devra pouvoir continuer de s’impliquer dans HIBP, le service de recherche de comptes compromis devra demeurer gratuit, et le site devra grandir et offrir davantage de services.