Piratage LinkedIn : 167 millions de victimes ?

Clément Bohic,
Sécurité
linkedin-mots-passe

Bilan revu à la hausse pour le vol de données subi il y a 4 ans par LinkedIn : l’ensemble des utilisateurs inscrits auraient été touchés, à divers degrés.

Stupeur et tremblements dans la maison LinkedIn.

Le réseau social BtoB se rappelle au souvenir d’un épisode que l’on croyait clos : une attaque informatique subie au printemps 2012 avec, à la clé, un piratage qualifié de « massif »*.

On en était resté, au bilan officiel, à 6,5 millions de mots de passe exfiltrés.

Les estimations viennent d’être revues à la hausse… et pas qu’un peu : 167 millions de comptes seraient en fait touchés, c’est-à-dire l’intégralité de la base d’utilisateurs revendiquée par LinkedIn à l’époque des faits.

C’est tout du moins ce que suggère le dénommé Troy Hunt.

Ce chercheur en sécurité, à l’origine du site « Have I been pwned ? », a pu prendre connaissance, via le moteur spécialisé LeakedSource, d’une partie des données volées. Les adresses e-mail lui ont permis de prendre contact avec plusieurs personnes qui ont confirmé que le mot de passe associé était bien celui qu’elles utilisaient en 2012.

troy-hunt-linkedin

L’alerte avait été lancée en début de semaine après la mise en vente, sur « The Real Deal » (place de marché du darkweb), de ce jeu de données, pour 5 bitcoins, soit environ 2 000 euros.

Le vendeur, qui se présente sous le pseudo « peace_of_mind », a fourni quelques détails à Vice. Sur les 167 millions d’adresses e-mail qui ont fuité, 117 millions sont liées à un mot de passe.

D’après l’analyse de Troy Hunt, ces mots de passe sont chiffrés, mais avec l’algorithme SHA1, aujourd’hui considéré comme offrant une protection insuffisante.

troy-hunt-linkedin-2

On notera par ailleurs l’absence de salage (ajout de chiffres aléatoires à la fin des hashs). Assez pour permettre à LeakedSource de craquer 90 % des mots de passe en l’espace de 72 heures.

LinkedIn ne confirme pas ces différents chiffres. L’entreprise américaine précise toutefois avoir, par mesure de précaution, commencé à invalider des mots de passe. En l’occurrence, ceux qui n’ont pas été modifiés depuis la date du piratage.

Les utilisateurs concernés seront avertis et invités à procéder à une réinitialisation. LinkedIn songe, en parallèle, à lancer des poursuites contre l’individu qui a mis les données en vente. Tout en rappelant que des mesures complémentaires sont disponibles, comme la double authentification.

* Les investigations menées dans la continuité de l’attaque auraient coûté, au bas mot, entre 500 000 et 1 million de dollars. Sans compter les frais inhérents aux divers procès intentés à LinkedIn – dont une class action en Californie.

Lire aussi :

200 millions de comptes Yahoo piratés : après l’hypothèse, la confirmation

Yahoo piraté : 200 millions de comptes monnayés sur le darkweb ?

Tumblr piraté : la lumière émane du darkweb

Clément Bohic
Auteur : Clément Bohic
Lire la biographie de l´auteur  Masquer la biographie de l´auteur