Si vous avez un compte sur le réseau social LinkedIn, il serait temps de vérifier si vous pouvez toujours y accéder. D’après le site Motherboard, un pirate qui se fait appeler « peace_of_mind » vient en effet de mettre en vente pour 5 bitcoins (environ 2000 euros) une base de données de 167 millions de comptes LinkedIn, avec e-mails et mots de passe. Selon le pirate, ces données proviennent d’un piratage des serveurs de LinkedIn datant de 2012, ce que l’entreprise a confirmé dans une note de blog. A l’époque, le réseau social avait déjà reconnu ce piratage, mais il n’était alors question que de 6 millions de comptes volés. Le hack est donc beaucoup plus important que l’on ne pensait.
L’énorme base a également été récupérée et analysée par Leakedsource.com, qui permet aux utilisateurs de vérifier si leurs données personnelles ont fuité sur le web. Parmi les 167 millions de comptes, « seuls 117 millions de comptes sont dotés de mots de passe et nous pensons que les autres utilisateurs utilisaient Facebook et d’autres services similaires [pour se connecter] », explique le site. Pour vérifier si votre compte fait partie des données volées, il suffit de vous rendre sur Leakedsource.com et de renseigner l’adresse email qui vous utilisez pour LinkedIn.
Des mots de passe faiblement protégés
Cette fuite de données est d’autant plus critique que les mots de passe volés sont certes « hachés » selon l’algorithme cryptographique SHA1, mais sans utilisation de « sel » (un procédé aléatoire qui renforce le chiffrement). Ils peuvent donc être facilement craqués. Interrogé par Motherboard, un administrateur de Leakedsource.com explique avoir réussi à casser « 90 % des mots de passe en 72 heures ». Bref, si votre compte fait partie de la base et que vous n’avez pas changé votre mot de passe depuis 2012, vous avez intérêt à le changer le plus vite possible… Faites d’ailleurs de même sur tous les autres sites sur lesquels vous êtes susceptibles d’avoir utilisé le même sésame.
De son côté, LinkedIn ne reste pas les bras ballants. Le réseau social va annuler tous les mots de passe qui ont créés avant 2012 et notifier les utilisateurs en conséquence pour qu’ils en créé un nouveau. L’entreprise précise que les mots de passe sont désormais systématiquement hachés et salés. Ils devraient donc être mieux protégés. Elle incite par ailleurs les utilisateurs à activer l’authentification à deux étapes et de choisir un bon mot de passe. L’analyse de Leakedsource.com prouve que l’on est loin du compte. Parmi les mots de passe volés, le plus utilisé était « 123456 », suivi de « linkedin » et « password ». Pas la peine de payer 2000 euros pour rentrer sur ces comptes là…
Sources:
Motherboard, Leakedsource.com, LinkedIn
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.