Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

LinkedIn : la fuite de 2012 plus large que prévu, nouvelle vague de réinitialisations

Certes, 117 >> 6,5
Internet 3 min
LinkedIn : la fuite de 2012 plus large que prévu, nouvelle vague de réinitialisations
Crédits : weerapatkiatdumrong/iStock

En 2012, LinkedIn était victime d’une fuite de données. Il était alors estimé qu’au moins 6,5 millions de comptes étaient touchés. Mais la mise en vente de la base de données fait grimper ce chiffre à 167 millions. L’entreprise a réagi en provoquant une gigantesque vague de réinitialisation des mots de passe.

En juin 2012, LinkedIn confirmait une importante fuite de données. Il était alors estimé qu’entre 6,5 et 8 millions de comptes avaient été compromis. La société n’avait pas mis longtemps à réagir. Elle avait bloqué les comptes concernés et imposé aux utilisateurs de se choisir un nouveau mot de passe pour accéder à nouveau à leurs données. Elle en profitait pour donner une série de conseils sur ce point.

167 millions de comptes pour 5 bitcoins

Mais cette fuite est visiblement beaucoup plus conséquente qu’escomptée. À la faveur de la mise en vente de la base de données contenant les adresses email et les mots de passe (alors hachés avec SHA1), on a appris qu’il s’agissait en fait d’un lot de 167 millions de comptes, dont 117 millions accompagnés du mot de passe. Des statistiques données par le site LeakedSource, spécialisé dans l’analyse des fuites d’informations.

Selon Ars Technica, cette base a été mise en vente a priori par un individu nommé « peace_of_mind », sur le site The Real Deal. Il en demande 5 bitcoins, soit au cours actuel environ 1 820 euros. Une valeur qui tient sans doute compte du fait que LinkedIn a depuis renforcé sa sécurité et colmaté la brèche initiale. Cela étant, la base représente quand même une importante liste d’adresses email, toujours utile pour du spam ou l’élaboration d’une campagne de phishing.

Une grande vague de réinitialisations

LinkedIn a d’ailleurs réagi et envoie depuis hier des emails pour avertir les personnes concernées de la suite des évènements. L’éditeur y rappelle les évènements de 2012, et s'il précise dans le billet original qu'il ne sait pas s'il s'agit d'une nouvelle fuite ou de l'ancienne, il finit par confirmer le second cas. « Nous prenons des mesures immédiates pour invalider ces mots de passe sur les comptes touchés, et nous contacterons les membres pour qu’ils les réinitialisent » peut-on ainsi lire sur le blog officiel.

LinkedIn rappelle que les mots de passe sont hachés et salés depuis « plusieurs années », et que d’autres options sont arrivées pour augmenter la sécurité des comptes, dont la plus importante est sans doute l’authentification à deux facteurs.

L'éditeur indique par ailleurs dans sa mise à jour du blog que les demandes de réinitialisation ne concernent que les utilisateurs qui n'auraient pas changé leur mot de passe depuis la fuite de 2012.

La litanie des mots de passe bien trop faibles

De son côté, LeakedSource fournit des informations sur les mots de passe utilisés. Le moins que l’on puisse dire, c’est qu’ils sont à la hauteur des attentes. Sur les 117 millions analysés, 753 305 d’entre eux sont ainsi la bête séquence « 123456 », autrement dit ce qui se faire de pire. « password » n’est qu’à la troisième place, dépassé d’une courte tête par « linkedin ».

On retrouve évidemment toutes les séries de chiffres plus ou moins longues comme « 125345679 », ou les répétitions de caractères tels que « 111111 ».  Viennent ensuite des mots de passe créés par des utilisateurs suivant très partiellement les conseils, comme « password1 » ou « abc123 », ou encore ceux qui utilisent des noms communs ou propres, tels que « charlie », « maggie » ou « sunshine ».

On ne rappellera jamais assez que la création d’un mot de passe est une étape très importante de la sécurité informatique. Il est devenu très simple d’en générer des complexes avec des solutions comme LastPass, Dashlane ou 1Password, mais ceux qui préfèrent les créer par eux-mêmes ont tout intérêt à suivre quelques règles élémentaires : créer un mot de passe unique pour chaque site si possible, ne prendre aucun mot figurant dans le dictionnaire, utiliser autant de types de caractères que possible (minuscules, majuscules, chiffres et spéciaux) et choisir une taille suffisamment longue (au moins dix caractères dès que c’est possible).

44 commentaires
Avatar de Altair31 Abonné
Avatar de Altair31Altair31- 19/05/16 à 09:46:41

Et pendant ce temps là les banques continuent d'imposer des mots de passes à X chiffres...

Par contre, vous n'évoquez jamais KeePass quand vous parlez des gestionnaire de mots de passe. Y a-t-il une raison particulière ?

Avatar de Stel INpactien
Avatar de StelStel- 19/05/16 à 09:52:46

Et pendant ce temps la, ma banque m'oblige à changer mon mot de passe.

C'est vrai, c'est tellement mieux de changer de mot de passe bancaire souvent et de l'écrire sur un post it pour s'en souvenir.

Avatar de Neocray INpactien
Avatar de NeocrayNeocray- 19/05/16 à 09:52:55

https://xkcd.com/936/

Édité par Neocray le 19/05/2016 à 09:53
Avatar de darkbeast Abonné
Avatar de darkbeastdarkbeast- 19/05/16 à 09:53:32

moi mon passe Copé2017 ils ne le trouveront jamais, je suis tranquille

Avatar de bilbonsacquet Abonné
Avatar de bilbonsacquetbilbonsacquet- 19/05/16 à 09:54:40

Altair31 a écrit :

Par contre, vous n'évoquez jamais KeePass quand vous parlez des gestionnaire de mots de passe. Y a-t-il une raison particulière ?

Personnellement, je n'utilise pas Keepass car la synchro multi-périphérique (iOS, Android, Mac, Windows) est une plaie.

 J'utilise 1password depuis quelques années et j'en suis satisfait, s'il était libre ça serait mieux en effet !

Avatar de trekker92 INpactien
Avatar de trekker92trekker92- 19/05/16 à 09:55:07

darkbeast a écrit :

moi mon passe Copé2017 ils ne le trouveront jamais, je suis tranquille

je suis plus efficace :
2032Cheminade.
Avec un C majuscule et un point.

Avatar de Toaster Abonné
Avatar de ToasterToaster- 19/05/16 à 10:02:19

Je ne comprends pas pourquoi la politique de sécurité des sites internet tolèrent ce genre de mot de passe. Pourquoi ne pas obligé l'utilisateur à choisir un mot de passe avec 8 caractères minimum ? Obligation de mettre au moins 1 chiffre, 2 lettres, dont 1 majuscule, ainsi que 1 caractère spécial.

Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 19/05/16 à 10:05:41

En fait les gens ne comprennent pas à quoi sert un mot de passe. Ca doit juste être une lourdeur pour eux, « mais moi je veux juste voir mon compte, pourquoi il faut toujours que je tape ce machin inutile ! ». Tu m'étonnes qu'avec ça ils n'ont "rien à cacher"...

Perso je suis en train de tester Encryptr, sur des mots de passe pas très importants. C'est Spider Oak qui l'édite, c'est multiplateforme, et open source (GPLv3). A ma connaissance c'est le seul éditeur qui fait des produits "zero knowledge". C'est Snowden himself qui les conseille :yes:

Avatar de Antwan Abonné
Avatar de AntwanAntwan- 19/05/16 à 10:12:09

pass est aussi une solution intéressante pour regrouper ses mots de passe, et basée sur des outils opensource que sont GIT et GPG :)

Avatar de Folgore INpactien
Avatar de FolgoreFolgore- 19/05/16 à 10:17:19

Bon, il est temps que je change mon 123456 par 654321

Il n'est plus possible de commenter cette actualité.
Page 1 / 5