Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

C'est en fait 167 millions de comptes LinkedIn qui ont été piratés en 2012

Hack of the week LinkedIn avait annoncé en 2012 la compromission de 6,5 millions de comptes utilisateurs. Une mise en vente sur le marché noire révèle aujourd'hui que ce sont en fait 167 millions de comptes qui avaient été touchés. Facteur agravant, la majeure partie des mots de passe dérobés ont une sécurité quasi-nulle.
Twitter Facebook Linkedin Flipboard Email
×

C'est en fait 167 millions de comptes LinkedIn qui ont été piratés en 2012
C'est en fait 167 millions de comptes LinkedIn qui ont été piratés en 2012 © Flickr CC - Nan Palmero

Les informations de 167 millions de comptes LinkedIn ont été mis en vente en ligne le 18 mai pour la somme de 5 bitcoins (environ 2000 euros). Sur l'ensemble de ces comptes, 117 millions comporteraient des identifiants de connexion complets (email et mot de passe). Dans un email envoyé aux utilisateurs, LinkedIn indique que les données proviennent d'une fuite datant de 2012 dont l'entreprise pensait jusqu'ici qu'elle n'avait touché que 6,5 millions de comptes.

 

Si le réseau social précise que les mots de passe étaient protégés par la fonction de hachage cryptographique SHA1, il faut savoir qu'elle n'offre en fait qu'une maigre protection, étant connue depuis plusieurs années pour sa fragilité face aux attaques. Il faut donc assumer que tous ces mots de passe sont compromis, et qu'ils seront testés à grande échelle sur d'autres services (emails, site marchands...).

 

D'après Ars Technica, les mots de passe les plus couramment utilisés par ces comptes révèlent une hygiène de sécurité particulièrement pauvre de la part des utilisateurs — et de LinkedIn pour ne pas avoir mis en place de meilleurs critères minimum. Plus de 753 000 comptes utilisaient "123456", 172 000 se contentaient de "linkedin", 144 000 ont opté pour le classique "password", et ainsi de suite. LinkedIn a indiqué qu'il allait s'assurer d'invalider les mots de passe concernés, mais quid de tous les autres services qu'utilisent ces utilisateurs ? Le besoin d'une généralisation des méthodes d'authentification multi-factorielle (mot de passe + SMS ou biométrie) est de plus en plus pressant.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale