Des millions d’utilisateurs de LinkedIn reçoivent un courriel du service avec des directives pour l’échange immédiat de mots de passe. La raison ? Une fuite de données qui aurait eu lieu en juillet 2012 et qui aurait pu affecter 167 millions de comptes.
LinkedIn reconnaît qu’en 2012, ses serveurs ont été piratés, ce qui a entraîné une fuite de mots de passe. À l’époque, la réaction a été comme prévu : les comptes concernés – on estime que 6,5 millions – ont dû subir une réinitialisation de leur mot de passe. En outre, la société a publié des communiqués pour guider les autres utilisateurs à faire de même par mesure de précaution.
Cette semaine, LinkedIn a découvert que le problème ne s’arrêtait pas là : un membre d’un darknet appelé TheRealDeal a mis en vente un paquet contenant les données d’accès de 117 millions de comptes LinkedIn obtenues lors de la fuite de 2012. Le prix ? 5 bitcoins (environ 2 200 €).
Le nombre de comptes concernés peut être plus important. LeakedSource, un site qui est décrit comme un service qui aide les utilisateurs à savoir si leurs informations privées sont disponibles sur Internet, affirme avoir eu accès aux données de 167 370 910 comptes.
Selon LinkedIn, aucune autre intrusion majeure n’a été enregistrée dans le service, il est donc presque certain que les données de ces comptes ont même été obtenues dans la fuite de 2012.
Si le nombre de comptes est si important, pourquoi les données n’ont-elles été mises à disposition que maintenant ? Un des responsables de LeakedSource a expliqué à Motherboard que les données sont probablement restées sous le contrôle d’un petit groupe russe pendant tout ce temps. Il est possible que l’accès au paquet ait été bien contrôlé pour éviter les tracas, ce qui entraînerait le changement rapide de nombreux mots de passe.
Pour autant que vous le sachiez, les mots de passe eux-mêmes ont été cryptés, mais sans l’application de “sel”, une technique de dérivation de clé qui permet de protéger la combinaison de certains types d’attaques. De ce fait, les personnes ayant des connaissances en la matière n’ont pas de difficultés à identifier les mots de passe.
Par conséquent, LinkedIn n’avait pas d’autre choix : depuis mercredi (18), les utilisateurs du service reçoivent un courriel pour échanger leurs mots de passe. En renfort, le service invalide progressivement les mots de passe de tous les comptes créés jusqu’en 2012. La même chose a été faite pour les comptes qui n’ont pas été mis à jour depuis cette année.
Comme prévu, LinkedIn a été interrogé par les experts en sécurité pour ne pas avoir pris de mesures plus complètes concernant l’invasion de 2012. Pour Brad Taylor, PDG de la société de sécurité Proficio, une analyse médico-légale bien menée aurait pu donner une idée plus précise de l’ampleur du problème. L’entreprise se défend en disant, par exemple, qu’elle a renforcé le cryptage des mots de passe et mis en œuvre l’option d’authentification en deux étapes.
Mais comme le mal est déjà fait, il vaut mieux faire de votre mieux pour vous protéger : le conseil est de changer votre mot de passe LinkedIn dès que possible, même si votre compte n’a pas été notifié.
