S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

6,5 millions de mots de passe LinkedIn dans la nature

Linkedin Linkedout

LinkedIn est sous le feu des projecteurs pour deux problèmes de sécurité. D’abord, son application mobile sous iOS enverrait des informations personnelles sans l’accord de l’utilisateur. Ensuite, des millions de mots de passe du service ont fuité. De quoi passer une très mauvaise journée pour l'éditeur.

LinkedIn Logo

Une application iOS bavarde

Cette découverte a été faite par deux chercheurs de la société Skycure Security, Yair Amit and Adi Sharabani. Ils ont mis en évidence un comportement relativement intrusif de l’application sous iOS. En effet, lorsque l’utilisateur active la fonction calendrier, LinkedIn devient particulièrement bavard.

Comme ils l’ont expliqué au site TheNextWeb, la fonction calendrier est complètement optionnelle et est désactivée par défaut. Lorsque l’utilisateur l’enclenche, l’application en lit le contenu ainsi que celui des notes ou de toute information relative datant des cinq derniers jours. Tous les types de calendriers sont concernés, aussi personnels que professionnels.

Premier problème : toutes ces informations sont envoyées aux serveurs de LinkedIn, y compris les titres de rendez-vous, l’organisateur, les participants ou encore les heures.

linkedin

Second problème, cette transmission se fait en clair. Autrement dit, les données ne sont pas chiffrées, ce qui pose un évident souci de sécurité.

La réponse officielle de LinkedIn est que la fonction calendrier est faite pour lier les profils du service aux personnes qui participent aux réunions. L’utilisateur obtient ainsi davantage de renseignements. L’éditeur précise également que la fonction est complètement optionnelle, qu’elle peut être désactivée n’importe quand, et que les informations sont envoyées via une connexion SSL. En outre, les données ne sont pas stockées et elles ne sont utilisées que pour l'identification des participants aux réunions.

Ces messages rassurants n'ont pas empêché la société d’annoncer quelques modifications. D’une part, tout ce qui touche aux notes ne sera plus envoyé. Comme l’avaient signalé les chercheurs, ces informations étaient inutiles dans le cadre de la fonctionnalité. D’autre part, un lien « En savoir plus » sera affiché pour fournir des informations sur la manière dont la société collecte les données et ce qu’elle en fait. Ces changements ont été apportés à l’application qui attend désormais de passer les sas de validation de l’App Store.

Des millions de mots de passe dans la nature

Mais une autre problèmatique nettement plus sérieuse vient salir le service en ligne. 6,5 millions de mots de passe ont fuité sur la toile. Une énorme brèche de sécurité rapportée dans un premier temps par le site norvégien Dagens IT et qui a depuis été confirmée.


Comme le montre le tweet ci-dessus, LinkedIn est informé de la situation et enquête actuellement. L’éditeur ne dit pas en revanche si la fuite est avérée, et son dernier tweet n'est pas plus bavard. Mais d’autres s’en sont chargés.

C’est le cas notamment de Graham Cluley du site Naked Security et consultant chez Sophos : « D’après notre enquête, il semblerait que les mots de passe soient authentiques ». Il complète : « les données publiées n’incluent pas les adresses email associées, mais je pense que l’on doit supposer qu’elles sont en possession des pirates ». Il estime en outre que les mots de passe, bien que chiffrés, peuvent être trouvés relativement facilement. Pour l'instant, 6,5 des 150 millions de comptes sont impactés, mais il faut attendre la confirmation formelle de l'éditeur pour en apprécier l'ampleur effective.

En attendant, les possesseurs de comptes peuvent toujours changer immédiatement leur mot de passe, par mesure de sécurité.
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 06/06/2012 à 17:53

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 42 commentaires

Avatar de 127.0.0.1 INpactien
127.0.0.1 Le mercredi 6 juin 2012 à 18:08:06
Inscrit le mercredi 29 avril 09 - 13214 commentaires
Linkedin Linkedout Leaked out


maitrecapello.gif

Il estime en outre que les mots de passe, bien que chiffrés, peuvent être trouvés relativement facilement.


?!? Un chiffrage trop faible, ou alors une autre faille dans le système ?

Edité par 127.0.0.1 le mercredi 6 juin 2012 à 18:08
Avatar de MrGeekArt INpactien
MrGeekArt Le mercredi 6 juin 2012 à 18:16:19
Inscrit le mardi 12 janvier 10 - 127 commentaires
?!? Un chiffrage trop faible, ou alors une autre faille dans le système ?


Au ton de la phrase, je dirais chiffrage trop faible
Je suppose aussi que PCi n'a pas beaucoup plus de détails




Edité par MrGeekArt le mercredi 6 juin 2012 à 18:17
Avatar de ano_634830571450903611 INpactien
ano_634830571450903611 Le mercredi 6 juin 2012 à 18:17:52
Inscrit le mercredi 13 octobre 10 - 2087 commentaires

?!? Un chiffrage trop faible, ou alors une autre faille dans le système ?


C'est du SHA1. Dire que les MDP sont trouvables "relativement facilement" me parait exagéré...
C'est surtout le cas pour les MDP simples, mais le hash aurait été différent, ça aurait été pareil.

Edité par Platoona le mercredi 6 juin 2012 à 18:22
Avatar de Shtong INpactien
Shtong Le mercredi 6 juin 2012 à 18:23:23
Inscrit le vendredi 23 septembre 05 - 126 commentaires
Chiffrage SHA1 en effet, mais la faiblesse est que tous les mots de passe ont été hashés avec le même sel.

Grosso modo ça signifie qu'une fois ce sel trouvé (ce qui ne devrait pas être bien long, il doit bien avoir un bon millier de mots de passe bidons dans la base), il est très rapide de bruteforcer le reste des mots de passe.
Avatar de Cookiethecat INpactien
Cookiethecat Le mercredi 6 juin 2012 à 18:25:44
Inscrit le mercredi 12 mai 10 - 21 commentaires
Quoi qu'il en soit, password changé

Il y a 42 commentaires

;