S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

LinkedIn confirme la fuite des mots de passe et bloque des comptes

Changement de mot de passe obligatoire pour les concernés

Hier, nous indiquions que LinkedIn avait été victime d’une fuite d’au moins 6,5 millions de mots de passe. L'éditeur ne confirmait rien alors que des recherches, notamment par Sophos, tentaient d'établir l’authenticité de ces comptes. Quelques heures plus tard, LinkedIn invitait ses utilisateurs à changer leur mot de passe. Depuis, il est passé à la vitesse supérieure.



Hier soir, vers 21h30, LinkedIn a publié un nouveau billet sur son blog officiel. Jusqu’à ce moment, l’entreprise ne parlait que de brèche et d’enquête en cours. Cette fois, elle reconnaît officiellement que les mots de passe qui ont fuité sont parfaitement authentiques, du moins pour une partie d’entre eux.

linkedin

Conséquence : plutôt que de simplement recommander que les utilisateurs changent leurs mots de passe, LinkedIn a bloqué l’accès aux comptes touchés par la fuite. Si vous vous connectez mais que le site vous renvoie une erreur, vous êtes concernés par la fuite de données. Dans ce cas, vérifiez vos courriers électroniques car un email de LinkedIn vous attend avec la marche à suivre.

Une fois le mot de passe modifié, l’utilisateur pourra de nouveau entrer sur son compte, sans autre modification particulière. Il recevra par contre un deuxième courrier pour lui donner d’autres détails sur le contexte entourant cette procédure. En outre, LinkedIn indiquera clairement qu’une fuite d’informations a eu lieu et qu’un changement de mot de passe était donc obligatoire.

Puisque l’on parle de mot de passe, le billet précédent de LinkedIn est intéressant. La société n’avait pas encore confirmé la fuite mais enjoignait ses utilisateurs à modifier volontairement leurs mots de passe. Elle donnait par ailleurs quelques conseils :
  • Ne pas utiliser le même mot de passe que sur d’autres sites
  • Ne pas utiliser un mot du dictionnaire
  • Penser à une phrase ayant un sens particulier, une chanson ou une citation et en faire un mot de passe complexe avec la première lettre de chaque mot
  • Ajouter de manière aléatoire des majuscules, de la ponctuation et des symboles
  • Remplacer certaines lettres par des chiffres à l’apparence proche, comme le « 3 » pour le « E », le « 0 » pour le « O » ou encore le « 4 » pour le « A »
  • Ne jamais donner son mot de passe à un tiers
  • Ne jamais écrire son mot de passe sur un support quelconque
LinkedIn en profite pour glisser également quelques conseils de bon sens à ses utilisateurs : la déconnexion du compte quand on quitte une machine publique, garder un antivirus à jour, ne pas mettre son adresse email, postale ou son numéro téléphone dans le Résumé du compte ou encore ne se connecter qu’aux personnes que l’on connaît. Des conseils que vont apprécier les utilisateurs... qui attendent surtout que l'origine de la brèche soit connue et colmatée.
Source : LinkedIn
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 07/06/2012 à 10:09

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 28 commentaires

Avatar de BKassad INpactien
BKassad Le jeudi 7 juin 2012 à 10:21:48
Inscrit le dimanche 29 juin 08 - 3 commentaires
Parce qu'ils stockent les mots de passe en clair ?
Avatar de jacklejack INpactien
jacklejack Le jeudi 7 juin 2012 à 10:23:59
Inscrit le lundi 6 décembre 04 - 390 commentaires
Non, en SHA1.
Mais bon, Rainbow tables, brute force, tout ça quoi.
Avatar de papinse INpactien
papinse Le jeudi 7 juin 2012 à 10:26:22
Inscrit le jeudi 17 juin 04 - 994 commentaires
Parce qu'ils stockent les mots de passe en clair ?
Pas nécessairement, la faille est peut être située au moment du login et pour la confirmation des mots de passe, ils ont pu effectuer le hachage.

Encore que :
It is worth noting that the affected members who update their passwords and members whose passwords have not been compromised benefit from the enhanced security we just recently put in place, which includes hashing and salting of our current password databases.
L'ajout est peut-être seulement le sel. Je ne sais pas.

Edité par papinse le jeudi 7 juin 2012 à 10:30
Avatar de snowers INpactien
snowers Le jeudi 7 juin 2012 à 10:39:20
Inscrit le vendredi 14 septembre 07 - 767 commentaires
Linkedin. J'utilise un alias pour chaque site où je m'inscris, je reçois tellements de pubs sur cette adresse que j'ai préféré la supprimer. Au moins 10 pubs par jour... --'
Avatar de _Makaveli_ INpactien
_Makaveli_ Le jeudi 7 juin 2012 à 10:44:18
Inscrit le mardi 10 février 09 - 720 commentaires

Ne pas utiliser le même mot de passe que sur d’autres sites


Ils sont gentils, un mot de passe par site, bonjour la galère !

Il y a 28 commentaires

;