Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Plus de 100 millions d'identifiants de comptes LinkedIn issus d'un vol de données datant de 2012
Sont vendus sur le Dark Web

Le , par Stéphane le calme

20PARTAGES

8  0 
En juin 2012, Vicente Silveira, qui était alors le directeur du réseau social professionnel LinkedIn, avançait que « nous voulons vous apporter une mise à jour des rapports de ce matin faisant état de mots de passe volés. Nous pouvons confirmer que certains de ceux qui ont été dérobés correspondent à des comptes LinkedIn ». À ce moment-là, un fichier contenant plus de 6,5 millions de mots de passe uniques hachés était mis en ligne sur un forum Russe. Plus de 200 000 mots de passe avaient déjà été déchiffrés.

Quatre ans plus tard, un hacker qui se sert du pseudonyme « Peace », a expliqué que le volume des données qui ont été dérobées en 2012 pourrait être plus important : au total il parle de 167 millions d’identifiants qui se vendent sur le Dark Web contre 5 bitcoins, l’équivalent de 2200 dollars. De son côté, le moteur de recherche de données piratées LeakedSource a lui aussi avancé que 167 millions de comptes ont été dérobés et que, parmi eux, seuls 117 millions de comptes disposent de mots de passe. « Ce n’est que maintenant que cela vient à se savoir : les gens n'auraient pas pu prendre cela au sérieux avant étant donné que cela n’a pas été répandu », a confié un responsable derrière le moteur de recherche.

Cette information a d’ailleurs été corroborée par Troy Hunt, le créateur de haveibeenpwned, sur Twitter : « j’ai vérifié une partie des soi-disant 167 millions d’enregistrements LinkedIn qui ont fuité et il est très probable qu’ils soient légitimes ». Le chercheur en sécurité a contacté des personnes dont les comptes figuraient dans la base de données et elles ont confirmé être utilisatrices de LinkedIn et que le mot de passe était bien celui qu’elles ont utilisé lorsque le vol de données a été déclaré.

Une victime a confirmé pour sa part qu’elle se servait encore du même mot de passe et elle l’a changé dès que Troy Hunt l’a contactée pour lui faire part de la faille. « Avoir son mot de passe qui traîne dehors nous fait penser que quelqu’un est en mesure de s’introduire dans votre vie privée quand il le désire et sans que vous ne le sachiez », a alors déclaré la victime qui a désiré conserver l’anonymat.

LeakedSource, regrette que les mots de passe aient été sauvegardés avec SHA-1, mais sans salage : « ce n’est pas ce que proposent les standards internet ». D’ailleurs, un responsable va déclarer que LeakedSource a pu déchiffrer « 90 % de ces mots de passe en 72 heures ». Ayant déchiffré la plupart de ces mots de passe, LeakedSource est allé jusqu’à établir la liste des 50 mots de passe les plus utilisés. Les trois premiers étant l’inégalable “123456” utilisé par plus de 753 000 membres, “linkedin” utilisé par plus de 172 000 membres et “password” utilisé par plus de 144 000 membres.

« Hier nous avons été au fait qu’un volume plus important de données a été publié et qui prétend renfermer une combinaison d’adresses mails et mots de passe hashés de plus de 100 millions de membres LinkedIn issus du même vol de 2012. Nous prenons des mesures immédiates pour révoquer ces mots de passe sur les comptes impactés et nous contacterons lesdits membres pour qu’ils réinitialisent leurs mots de passe. Rien n’indique qu’il s’agit là d’une nouvelle brèche dans notre sécurité », a indiqué LinkedIn dans un billet publié hier.

Aussi, si vous êtes concerné par ces mesures, après avoir changé votre mot de passe, il convient de le modifier également sur d’autres sites où vous les utilisez.

« Nous avons demandé que cesse la divulgation des données volées et nous évaluerons les potentielles actions légales si les parties impliquées ne s’y soumettent pas », a prévenu LinkedIn qui a dit être en train de se servir d’outils automatisés pour tenter d’identifier et de bloquer toute activité suspecte qui pourrait survenir sur l’un de ces comptes.

Source : LinkedIn, MotherBoard, LeakedSource, twitter (Troy Hunt)

Voir aussi :

Des hackers iraniens ont créé de faux profils LinkedIn, pour lancer une campagne d'espionnage

LinkedIn rend open source sa boîte à outils FeatureFu, pour faciliter la conception de modèles d'apprentissage automatique

Une erreur dans cette actualité ? Signalez-le nous !