En 2012, LinkedIn était victime d’une fuite de données. Il était alors estimé qu’au moins 6,5 millions de comptes étaient touchés. Mais la mise en vente de la base de données fait grimper ce chiffre à 167 millions. L’entreprise a réagi en provoquant une gigantesque vague de réinitialisation des mots de passe.
En juin 2012, LinkedIn confirmait une importante fuite de données. Il était alors estimé qu’entre 6,5 et 8 millions de comptes avaient été compromis. La société n’avait pas mis longtemps à réagir. Elle avait bloqué les comptes concernés et imposé aux utilisateurs de se choisir un nouveau mot de passe pour accéder à nouveau à leurs données. Elle en profitait pour donner une série de conseils sur ce point.
167 millions de comptes pour 5 bitcoins
Mais cette fuite est visiblement beaucoup plus conséquente qu’escomptée. À la faveur de la mise en vente de la base de données contenant les adresses email et les mots de passe (alors hachés avec SHA1), on a appris qu’il s’agissait en fait d’un lot de 167 millions de comptes, dont 117 millions accompagnés du mot de passe. Des statistiques données par le site LeakedSource, spécialisé dans l’analyse des fuites d’informations.
Selon Ars Technica, cette base a été mise en vente a priori par un individu nommé « peace_of_mind », sur le site The Real Deal. Il en demande 5 bitcoins, soit au cours actuel environ 1 820 euros. Une valeur qui tient sans doute compte du fait que LinkedIn a depuis renforcé sa sécurité et colmaté la brèche initiale. Cela étant, la base représente quand même une importante liste d’adresses email, toujours utile pour du spam ou l’élaboration d’une campagne de phishing.
Une grande vague de réinitialisations
LinkedIn a d’ailleurs réagi et envoie depuis hier des emails pour avertir les personnes concernées de la suite des évènements. L’éditeur y rappelle les évènements de 2012, et s'il précise dans le billet original qu'il ne sait pas s'il s'agit d'une nouvelle fuite ou de l'ancienne, il finit par confirmer le second cas. « Nous prenons des mesures immédiates pour invalider ces mots de passe sur les comptes touchés, et nous contacterons les membres pour qu’ils les réinitialisent » peut-on ainsi lire sur le blog officiel.
LinkedIn rappelle que les mots de passe sont hachés et salés depuis « plusieurs années », et que d’autres options sont arrivées pour augmenter la sécurité des comptes, dont la plus importante est sans doute l’authentification à deux facteurs.
L'éditeur indique par ailleurs dans sa mise à jour du blog que les demandes de réinitialisation ne concernent que les utilisateurs qui n'auraient pas changé leur mot de passe depuis la fuite de 2012.
La litanie des mots de passe bien trop faibles
De son côté, LeakedSource fournit des informations sur les mots de passe utilisés. Le moins que l’on puisse dire, c’est qu’ils sont à la hauteur des attentes. Sur les 117 millions analysés, 753 305 d’entre eux sont ainsi la bête séquence « 123456 », autrement dit ce qui se faire de pire. « password » n’est qu’à la troisième place, dépassé d’une courte tête par « linkedin ».
On retrouve évidemment toutes les séries de chiffres plus ou moins longues comme « 125345679 », ou les répétitions de caractères tels que « 111111 ». Viennent ensuite des mots de passe créés par des utilisateurs suivant très partiellement les conseils, comme « password1 » ou « abc123 », ou encore ceux qui utilisent des noms communs ou propres, tels que « charlie », « maggie » ou « sunshine ».
On ne rappellera jamais assez que la création d’un mot de passe est une étape très importante de la sécurité informatique. Il est devenu très simple d’en générer des complexes avec des solutions comme LastPass, Dashlane ou 1Password, mais ceux qui préfèrent les créer par eux-mêmes ont tout intérêt à suivre quelques règles élémentaires : créer un mot de passe unique pour chaque site si possible, ne prendre aucun mot figurant dans le dictionnaire, utiliser autant de types de caractères que possible (minuscules, majuscules, chiffres et spéciaux) et choisir une taille suffisamment longue (au moins dix caractères dès que c’est possible).
Commentaires (44)
#1
Et pendant ce temps là les banques continuent d’imposer des mots de passes à X chiffres…
Par contre, vous n’évoquez jamais KeePass quand vous parlez des gestionnaire de mots de passe. Y a-t-il une raison particulière ?
#2
Et pendant ce temps la, ma banque m’oblige à changer mon mot de passe.
C’est vrai, c’est tellement mieux de changer de mot de passe bancaire souvent et de l’écrire sur un post it pour s’en souvenir.
#3
https://xkcd.com/936/
#4
moi mon passe Copé2017 ils ne le trouveront jamais, je suis tranquille
#5
#6
#7
Je ne comprends pas pourquoi la politique de sécurité des sites internet tolèrent ce genre de mot de passe. Pourquoi ne pas obligé l’utilisateur à choisir un mot de passe avec 8 caractères minimum ? Obligation de mettre au moins 1 chiffre, 2 lettres, dont 1 majuscule, ainsi que 1 caractère spécial.
#8
En fait les gens ne comprennent pas à quoi sert un mot de passe. Ca doit juste être une lourdeur pour eux, « mais moi je veux juste voir mon compte, pourquoi il faut toujours que je tape ce machin inutile ! ». Tu m’étonnes qu’avec ça ils n’ont “rien à cacher”…
" />
Perso je suis en train de tester Encryptr, sur des mots de passe pas très importants. C’est Spider Oak qui l’édite, c’est multiplateforme, et open source (GPLv3). A ma connaissance c’est le seul éditeur qui fait des produits “zero knowledge”. C’est Snowden himself qui les conseille
#9
pass est aussi une solution intéressante pour regrouper ses mots de passe, et basée sur des outils opensource que sont GIT et GPG :)
#10
Bon, il est temps que je change mon 123456 par 654321
#11
Mais…? On a le droit de mettre autre chose que 123456 ??
#12
Avec Dropbox, Drive, OneDrive, Cloudstation, etc. ça marche bien. Surtout que le fichier est chiffré, donc pas de soucis de vie privée.
Le soucis est de trouver sur mobile/tablette un programme qui l’ouvre bien.
Personnellement je l’ai couplé à la gestion des mots de passe de Firefox (Sync) avec mot de passe maître, et ça marche bien. Par contre, j’ai mis ma mère sur LastPass, plus simple pour elle.
#13
LinkedIn rappelle que les mots de passe sont hachés et salés depuis « plusieurs années »,
Mais manifestement pas en 2012 quand la fuite a eu lieu puisque l’on peut lire sur LeakedSource :
Passwords were stored in SHA1 with no salting
C’est d’ailleurs pour cela qu’ils on pu retrouver les mots de passe simplets.
Je trouve cette communication de LinkedIn faux-cul et peu professionnelle : Ils n’indiquent pas clairement que ceux qui avaient un mot de passe à l’époque et qui ne l’ont pas modifié ne sont pas bien protégés s’il est facile à bruteforcer.
J’ai reçu mon petit mail ce matin !
#14
#15
#16
Parce que c’est inutile ? J’ai horreur des sites qui imposent de mettre toutes les classes de caractères dans un mdp. Ma passphrase de 55 lettres minuscules est bien plus efficaces que ‘Pwd&12’
#17
#18
c’est pareil pour FB mais une chercheuse à réussie sur facebook beta : il ne comptaient pas le nb d’éssais
#19
Yep, j’y pensais justement, comme à chaque sujet/news sur le sujet.
Mais en général, les sites imposent cette idiotie de devoir mettre chiffres, majuscules/minuscules, et autres caractères spéciaux, tout en limitant la longueur du mot de passe, alors que, comme le (dé)montre parfaitement ce xkcd, c’est bien sur cette longueur que l’on accroît exponentiellement la sécurité du mot de passe, même s’il ne comporte que des caractères communs.
Ce qui m’accable est que l’on continue de soutenir cette démarche d’usage de caractères alakon.
#20
Normalement, les formulaires de login sont sensé être protégé (nombre de tentative) pour empêcher le bruteforce.
Si la base de donnée est hacké, c’est le salt ultra complexe qui empêche le bruteforce.
Si le hackeur arrive à récupérer la base de donnée ET le salt, il y a quand même de forte chance qu’il a réussi à avoir un accès au serveur web (vu que le salt ne doit être stocké que dans le serveur web, et nul par ailleurs). Dans ce cas un mot de passe complexe ne changera pas forcément grand chose, car le hackeur a potentiellement un accès au mot de passe quand il est encore en clair.
En gros, un mot de passe complexe sera utile seulement si :
… ou que les devs n’ont vraiment pas fait leur boulot correctement (ici, pas de salt).
#21
La fainéantise d’une vaste majorité de développeurs php à appréhender les concepts élémentaires de sécurité me dépassera toujours je crois.
Le manuel recommendait déjà le salting quand on écrivait encore “<?php3” en en-tête !
#22
Concernant la partie mot de passe, ce que j’ai vu de pire pour l’instant c’est une société qui donne un login/mot de passe, les deux étant le numéros de contrat (!). Leur site web n’offre aucune possibilité de le changer, la seule solution étant d’envoyer un courrier (véridique) avec l’identifiant et le mot de passe souhaité (!!!!!)
#23
Encore une bonne pub pour le bitcoin!
#24
1password est dorénavant à 78\( pour 1 utilisateur...
Ou en abonnement mensuel de 5\) pour la version famille.
Bien trop cher pour un gestionnaire de mot de passe.
#25
Rhaaaaa les mots de passe.
" />
L’histoire est un éternel recommencement.
#26
On peut voir quelque part si notre compte est compromis et dans quelle mesure ? En bref, si mon compte se retrouve dans cette fuite (je pense qu’il y a de grandes chances). J’ai reçu un mail de LinkedIn aujourd’hui me disant qu’il fallait que je réinitialise mon mot de passe justement, j’ai d’abord cru à du phishing car il était marqué comme “spam”.
#27
Heu, ouai, une pub qui ne cible que ceux qui serait intéressé par une liste de login de linkdln… 
" />
" />
Ca doit pas avoir incité tant de gens que ça à utiliser le bitcoin…
#28
je vais enfin pouvoir recycler les répliques de Kamoulox
#29
C’était ironique. Ce que je veux dire c’est que de plus en plus, quand j’entends parler de bitcoin dans la presse, ça va de paire avec des demandes de rançons
" />
#30
#31
de claques ! 
" />
#32
#33
#34
Je ne sais quand tu as essayé la dernière fois, mais en ce qui me concerne ça fonctionne bien en étant sous Windows et Android, en utilisant une base en v2 partagée sur Google Drive.
Sur Android, j’utilise Keepass2Android qui est Open Source.
J’utilisais de temps à autre la même base sur Mac via KeepassX (il me semble) et ça fonctionnait aussi.
#35
Merci camarade.
" />
#36
Non, pas de lien direct. A la création d’un mot de passe dans KeepassX, je le colle dans la page. Et Firefox s’en souvient.
Il me semble que KeeFox ne marche qu’avec la version 2 de Keepass, et je n’avais pas trouvé d’application sous Android pour ouvrir les fichiers de format Keepass 2. Du coup je reste sur le format v1.
#37
De rien mais remercie plutôt Spider Oak et Snowden
" />
#38
Keepass2android pour utiliser des bdd keepass 2
Personnellement c’est KeePassx sur nux et win, plus keepass2android (offline version). Et je fais la synchro du fichier via owncloud sur mon dédié.
#39
#40
Oh je vois. Le soucis pour moi serait d’avoir mes mots de passe doublés entre Keepass et Firefox dans ce cas.
Si jamais tu as envie de re-tester Keefox, sache que sous Android tu as Keepass2Android qui fonctionne très bien avec la v2 de keepass, est open source, et marche bien avec Google Drive / Drop Box / etc.
#41
Franchement, je me pose la question depuis un certain temps…………. sans avoir trouvé la solution idéale.
Je crois qu’une passphrase avec 1 ou 2 caractères qui changent selon le site/service avec une logique que tu retiendras facilement est mieux que d’utiliser un gestionnaire de pwd. Dans le premier cas t’es le seul à connaître tes MDP et la règle que tu t’es instaurée. Dans le second cas, tes mdp sont stockés quelque part… crypté certes (j’espère :o) mais à quel point, et pour combien de temps.. ?
#42
Avec Firefox Sync, sait-on quel degré de chiffrage est utilisé ?
#43
Je n’ai pas de réponse définitive, en regardant vite fait, on trouve des liens qui se base sur Weave, l’ancêtre de Firefox Sync :https://wiki.mozilla.org/Labs/Weave/Crypto ethttps://wiki.mozilla.org/Labs/Weave/Developer/Crypto
Visiblement, si c’est resté la même chose, il s’agit d’AES256 effectué localement.
#44
merci pour l’info :)