Si vous avez un compte LinkedIn, c’est le bon moment pour changer votre mot de passe. Un utilisateur de forum russe prétend avoir obtenu l’accès à des millions de mots de passe d’utilisateurs de réseaux sociaux. Pour prouver son exploit, il a divulgué sur Internet un fichier contenant exactement 6 458 020 combinaisons cryptées, mais sans leurs noms d’utilisateur. Aujourd’hui n’est pas un bon jour pour le service : l’histoire arrive juste après que l’application LinkedIn iOS soit accusée de violer la vie privée des utilisateurs.
Comme les développeurs de LinkedIn ont été assez malins pour ne pas stocker les mots de passe en texte clair dans la base de données, seuls les hashs des combinaisons ont fui. Tous sont cryptés en SHA-1, ce qui rend la découverte des mots de passe plus difficile, mais pas impossible, surtout pour les utilisateurs qui ont l’habitude d’utiliser des combinaisons ou des mots très courants dans les dictionnaires.
Il est vrai que le fichier de mots de passe peut être faux comme il l’était récemment avec Twitter, mais les rapports des internautes donnent de la crédibilité à cette question, comme le dit The Verge. Plusieurs d’entre eux ont trouvé leur mot de passe haché au milieu du fichier et certaines combinaisons pointent vers le mot “linkedin”, ce qui indique que les codes ne sont pas aléatoires. L’équipe de LinkedIn a annoncé qu’elle enquêtait sur l’affaire et vérifiait les informations des utilisateurs.
Aujourd’hui encore, la société de sécurité Skycure Security a découvert que l’application LinkedIn envoie sans autorisation des données des calendriers des utilisateurs d’iOS aux serveurs de la société, notamment des informations telles que le sujet, le lieu, les notes et l’heure. Pour aggraver les choses, ces détails sont envoyés en texte clair, ce qui aggrave le problème. LinkedIn, à son tour, a déclaré que tout est transmis par SSL et ne stocke jamais d’informations de calendrier.
Comme pour toute fuite de mot de passe, la recommandation est de changer votre mot de passe LinkedIn dès que possible. Si vous avez utilisé la même combinaison dans d’autres services, il est également important de changer votre mot de passe dans tous ces services.
4:50pm update | LinkedIn a confirmé que “certains” mots de passe ont en fait été obtenus sans autorisation de la base de données des réseaux sociaux. Les utilisateurs concernés ont vu leur mot de passe automatiquement réinitialisé et recevront des courriels les alertant du problème.