En 2012, LinkedIn était victime d’une fuite de données. Il était alors estimé qu’au moins 6,5 millions de comptes étaient touchés. Mais la mise en vente de la base de données fait grimper ce chiffre à 167 millions. L’entreprise a réagi en provoquant une gigantesque vague de réinitialisation des mots de passe.
En juin 2012, LinkedIn confirmait une importante fuite de données. Il était alors estimé qu’entre 6,5 et 8 millions de comptes avaient été compromis. La société n’avait pas mis longtemps à réagir. Elle avait bloqué les comptes concernés et imposé aux utilisateurs de se choisir un nouveau mot de passe pour accéder à nouveau à leurs données. Elle en profitait pour donner une série de conseils sur ce point.
167 millions de comptes pour 5 bitcoins
Mais cette fuite est visiblement beaucoup plus conséquente qu’escomptée. À la faveur de la mise en vente de la base de données contenant les adresses email et les mots de passe (alors hachés avec SHA1), on a appris qu’il s’agissait en fait d’un lot de 167 millions de comptes, dont 117 millions accompagnés du mot de passe. Des statistiques données par le site LeakedSource, spécialisé dans l’analyse des fuites d’informations.
Selon Ars Technica, cette base a été mise en vente a priori par un individu nommé « peace_of_mind », sur le site The Real Deal. Il en demande 5 bitcoins, soit au cours actuel environ 1 820 euros. Une valeur qui tient sans doute compte du fait que LinkedIn a depuis renforcé sa sécurité et colmaté la brèche initiale. Cela étant, la base représente quand même une importante liste d’adresses email, toujours utile pour du spam ou l’élaboration d’une campagne de phishing.
Une grande vague de réinitialisations
LinkedIn a d’ailleurs réagi et envoie depuis hier des emails pour avertir les personnes concernées de la suite des évènements. L’éditeur y rappelle les évènements de 2012, et s'il précise dans le billet original qu'il ne sait pas s'il s'agit d'une nouvelle fuite ou de l'ancienne, il finit par confirmer le second cas. « Nous prenons des mesures immédiates pour invalider ces mots de passe sur les comptes touchés, et nous contacterons les membres pour qu’ils les réinitialisent » peut-on ainsi lire sur le blog officiel.
LinkedIn rappelle que les mots de passe sont hachés et salés depuis « plusieurs années », et que d’autres options sont arrivées pour augmenter la sécurité des comptes, dont la plus importante est sans doute l’authentification à deux facteurs.
L'éditeur indique par ailleurs dans sa mise à jour du blog que les demandes de réinitialisation ne concernent que les utilisateurs qui n'auraient pas changé leur mot de passe depuis la fuite de 2012.
La litanie des mots de passe bien trop faibles
De son côté, LeakedSource fournit des informations sur les mots de passe utilisés. Le moins que l’on puisse dire, c’est qu’ils sont à la hauteur des attentes. Sur les 117 millions analysés, 753 305 d’entre eux sont ainsi la bête séquence « 123456 », autrement dit ce qui se faire de pire. « password » n’est qu’à la troisième place, dépassé d’une courte tête par « linkedin ».
On retrouve évidemment toutes les séries de chiffres plus ou moins longues comme « 125345679 », ou les répétitions de caractères tels que « 111111 ». Viennent ensuite des mots de passe créés par des utilisateurs suivant très partiellement les conseils, comme « password1 » ou « abc123 », ou encore ceux qui utilisent des noms communs ou propres, tels que « charlie », « maggie » ou « sunshine ».
On ne rappellera jamais assez que la création d’un mot de passe est une étape très importante de la sécurité informatique. Il est devenu très simple d’en générer des complexes avec des solutions comme LastPass, Dashlane ou 1Password, mais ceux qui préfèrent les créer par eux-mêmes ont tout intérêt à suivre quelques règles élémentaires : créer un mot de passe unique pour chaque site si possible, ne prendre aucun mot figurant dans le dictionnaire, utiliser autant de types de caractères que possible (minuscules, majuscules, chiffres et spéciaux) et choisir une taille suffisamment longue (au moins dix caractères dès que c’est possible).
