Cybersécurité: les bons chevaliers du Web obscur

Troy Hunt devant un sous-comité américain du Département de l’énergie et du commerce en novembre 2017
Photo: Carolyn Kaster Associated Press Troy Hunt devant un sous-comité américain du Département de l’énergie et du commerce en novembre 2017

« Le Web obscur, comme le laisse entendre son nom, est très privé, caché et difficile à atteindre. Heureusement, il y a des gens plus honnêtes qui savent s’y retrouver. Ils mettent la main sur des “ jeux de données ”, qu’ils rendent publics afin de voir si nos informations personnelles sont exposées », explique Richard Khoury, professeur au Département d’informatique et de génie logiciel de l’Université Laval.

L’Australien Troy Hunt, fondateur du site Have I Been Pwned ?, est sans doute le plus illustre de ces bons chevaliers du Web qui consacrent leur matière grise et le plus clair de leur temps à dévoiler les comportements criminels de ceux qui magouillent du côté sombre de la Toile. Être « pwned » (prononcez « p-owned »), dans la langue des geeks, signifie « être conquis. »

Joint par Skype, Troy Hunt raconte qu’au lendemain de la fuite de données qui a affecté 152 millions de clients d’Adobe en 2013, il a créé son site qu’il qualifie de « service à la communauté ».

Développeur de logiciels pour Microsoft, Troy Hunt a construit son site en collaboration avec des personnes qui savent trouver de nouvelles brèches. « Mon travail est de repérer des vulnérabilités dans la sécurité des systèmes. »

Plus menaçants

Les périls du Web obscur, de l’avis de Troy Hunt, sont plus menaçants qu’il y a cinq ans.

« C’est pire aujourd’hui, parce qu’il existe de plus en plus de systèmes et une grande augmentation des sites de transactions bancaires en ligne. De plus, la somme des données des usagers du Web est plus grande. Sans parler des objets connectés : il arrive régulièrement que des fuites de données affectent des oursons en peluche ou des montres d’enfants. »

Ainsi, sur le site créé par cet expert en sécurité informatique, il est possible de valider si une adresse courriel ou un mot de passe ont été exposés, dans le contexte d’une fuite de données. Mais ce genre de vérification ne procure que des réponses qui restent partielles, rappelle Richard Khouri.

« C’est impossible de faire le tour et d’évaluer tout ce qui circule à votre sujet sur Internet. Par contre, des sites comme Have I Been Pwned ? permettent de savoir combien de fois vos mots de passe ont été dérobés, et par combien d’individus », souligne Richard Khoury.

Personne n’y échappe. D’ailleurs, même Mark Zuckerberg s’est retrouvé parmi les profils exposés en 2017, lors de la mégafuite de données qui a touché 90 millions d’usagers de Facebook en septembre 2018. Et le monde de la sécurité informatique, par conséquent, est une affaire en croissance exponentielle ; Have I Been Pwned ? cherche d’ailleurs un acheteur et Troy Hunt a déjà reçu quelques offres intéressantes, mais entend demeurer présent dans l’entreprise.

« La plateforme est devenue trop grosse et trop populaire, en raison de la multiplication des brèches. C’est devenu trop laborieux de gérer ça seul. »