
Les informations de 167 millions de comptes LinkedIn ont été mis en vente en ligne le 18 mai pour la somme de 5 bitcoins (environ 2000 euros). Sur l'ensemble de ces comptes, 117 millions comporteraient des identifiants de connexion complets (email et mot de passe). Dans un email envoyé aux utilisateurs, LinkedIn indique que les données proviennent d'une fuite datant de 2012 dont l'entreprise pensait jusqu'ici qu'elle n'avait touché que 6,5 millions de comptes.
Si le réseau social précise que les mots de passe étaient protégés par la fonction de hachage cryptographique SHA1, il faut savoir qu'elle n'offre en fait qu'une maigre protection, étant connue depuis plusieurs années pour sa fragilité face aux attaques. Il faut donc assumer que tous ces mots de passe sont compromis, et qu'ils seront testés à grande échelle sur d'autres services (emails, site marchands...).
D'après Ars Technica, les mots de passe les plus couramment utilisés par ces comptes révèlent une hygiène de sécurité particulièrement pauvre de la part des utilisateurs — et de LinkedIn pour ne pas avoir mis en place de meilleurs critères minimum. Plus de 753 000 comptes utilisaient "123456", 172 000 se contentaient de "linkedin", 144 000 ont opté pour le classique "password", et ainsi de suite. LinkedIn a indiqué qu'il allait s'assurer d'invalider les mots de passe concernés, mais quid de tous les autres services qu'utilisent ces utilisateurs ? Le besoin d'une généralisation des méthodes d'authentification multi-factorielle (mot de passe + SMS ou biométrie) est de plus en plus pressant.
Réagir