au sommaire
Linkedin a confirmé qu'il avait bien été victime d'une intrusion sur ses serveurs au cours de laquelle des mots de passe cryptés de comptes utilisateurs ont été dérobés. Un peu plus tôt hier, un fichier contenant près de 6,5 millions de mots de passe Linkedin avait été posté sur un site russe de hackers.
Plusieurs éditeurs de solutions de sécurité, dont Sophos, ont indiqué que ce fichier comportait bien des mots de passe de membres du réseau social professionnel. Si le fichier ne contenait pas les adresses e-mail associées à ces mots de passe, les spécialistes estiment qu'il est assez probable que les pirates les possèdent. Sophos a ensuite révélé que 60 % des mots de passe auraient déjà été déchiffrés du fait qu'ils n'étaient pas « salés ». Le salage de mots de passe est une technique qui consiste à ajouter une ligne de caractères aléatoires au moment du chiffrement afin de rendre impossible une attaque par dictionnaire ou par force bruteforce brute.
L'éditeur de solutions de sécurité Sophos a analysé le phénomène et explique sur son site comment modifier le mot de passe d'un compte Linkedin. © Sophos
Dans son dernier billet de blogblog, Linkedin n'avance pas de chiffre précis quant au nombre de victimes mais a assuré que les mots de passe des comptes utilisateurs compromis ont été réinitialisés et que la technique de hachage et de salage était désormais appliquée.
Linkedin : attaque par phishing en cours
Problème, des pirates exploitent déjà cette brèche pour envoyer de faux messages de phishing aux membres du réseau socialréseau social. Les victimes reçoivent un faux e-mail Linkedin les invitant à cliquer sur un lien afin de confirmer leur adresse mail. Mais le lien en question les conduit tout droit vers des sites de vente de produits pharmaceutiques type Viagra.
La technique peut également servir à propager des logiciels malveillants. Les pirates ont agi avec céléritécélérité afin de profiter immédiatement de l'effet médiatique provoqué par l'annonce de cette brèche de sécurité et en jouant sur la confusion. Car Linkedin précise qu'il envoie bien un e-mail aux membres dont les mots de passe ont été dérobés mais qu'il ne contient aucun lien. C'est seulement une fois que l'utilisateur a suivi les premières instructions qu'il reçoit un second message comportant un lien pour réinitialiser son mot de passe.
Futura-Sciences a interrogé Linkedin France pour tenter de savoir combien de membres français pouvaient être concernés. Sous prétexte que ces informations sont gérées par la direction de la firme aux États-Unis, nous avons été renvoyés vers le compte Twitter officiel de la société. Linkedin revendique 150 millions de membres (février 2012) dont plus de 3 millions pour la France (novembre 2011). Dans le doute et par mesure de précaution, nous recommandons aux titulaires d'un compte sur ce réseau social de changer leur mot de passe et de ne surtout pas utiliser le même pour différents services.