lolloj - Fotolia
Linkedin : plus d’une centaine de millions de comptes compromis
En juin 2012, LinkedIn avait été victime de la compromission de plusieurs millions de comptes utilisateurs. Mais plus d’une centaine l’aurait été.
C’était il y a bientôt quatre ans : DagensIT.no indiquait que 6,5 millions de comptes utilisateurs du réseau social profession LinkedIn avaient été compromis. Mais la situation serait bien pire.
Selon LeakedSource, près de 170 millions de comptes auraient en fait été affectés, dont plus de 117 millions avec mot de passe. Et d’affirmer que les mots de passe des comptes concernés étaient stockées chiffrés avec l’algorithme « SHA1 sans sel. Ce n’est pas ce que les standards d’Internet proposent ».
Outre des statistiques atterrantes sur les mots de passe utilisés par les utilisateurs concernés, le site Web propose un moteur de recherche où vérifier si son compte a été affecté ou non, sur la base de son pseudonyme, de son adresse e-mail ou de ses nom et prénom. Au passage, LeakedSource effectue également une recherche dans d’autres bases de données de comptes compromis : ceux d’Adobe, de 939 sites web exploitant VBulletin, ou encore d’AVSForum, un forum dédié aux amateurs d’installations audio/vidéo domestiques.
Le résultat peut s’avérer préoccupant : certains internautes peuvent découvrir à l’occasion de cette recherche que certains de leurs comptes ont été compromis sans jamais en avoir reçu la moindre notification par les opérateurs des sites ou forums concernés. Des membres de la rédaction ont pu en faire l’expérience.
Selon nos confrères de Motherboard, la base de données de LinkedIn, qui date désormais quelque peu, est actuellement en vente en ligne pour environ 2200 $. Selon le pirate qui la vend, cette base serait jusqu’ici « restée entre les mains d’un petit groupe de Russes ».
LinkedIn vient de reconnaître l’étendue de la compromission et assure, dans un billet de blog, « prendre des mesures immédiates pour invalider les mots de passe des comptes affectés. Nous contacterons ces membres pour qu’ils réinitialisent leurs mots de passe ». Certains sont toutefois susceptibles de l’avoir déjà fait en 2012, à l’issue de la révélation de la compromission.
Mais étonnamment, pas tous puisque LinkedIn prend la peine de préciser avoir « commencé à invalider les mots de passe pour tous les comptes créés avant la brèche de 2012 et dont les mots de passe n’ont pas été mis à jour depuis lors ».