Plus de 100 millions de mots de passe LinkedIn dans la nature… depuis 2012 !
Plus de 100 millions de mots de passe LinkedIn dans la nature… depuis 2012 ! |
Une base de données, contenant 117 millions de combinaisons d’identifiants et de mots de passe, est vendue 2000 euros par des pirates. Le réseau social professionnel enquête.
Le piratage massif dont a été victime LinkedIn en 2012 revient hanter le réseau social professionnel. Une base de données contenant plus de 100 millions d’identifiants et de mots de passe est actuellement proposée à la vente sur une place de marché du dark web, «The Real Deal», rapporte le siteMotherBoard. Le fichier est proposé à la vente pour 5 bitcoins, soit un peu plus de 2000 euros. Il concerne 167 millions de comptes, dont 117 millions sont associés à un mot de passe. Le site LeakedSource, qui a eu accès au fichier, assure avoir réussi à déchiffrer en trois jours «90% des mots de passe». Ils étaient en théorie protégés par un procédé de hachage cryptographique, SHA-1, mais sans salage, une technique compliquant leur lecture en clair. Deux personnes, présentes dans le fichier, ont confirmé à un chercheur en cybersécurité que le mot de passe associé à leur identifiant était authentique. LinkedIn avait reconnu en 2012 le vol des données de connexion, mais sans jamais préciser le nombre d’utilisateurs concernés. Un fichier, concernant 6,5 millions de comptes, avait à l’époque été mis en ligne. «À l’époque, notre réponse a été d’imposer un changement de mot de passe à tous les utilisateurs que nous pensions touchés. De plus, nous avons conseillé à tous les membres de LinkedIn de changer leurs mots de passe», commente aujourd’hui le réseau social professionnel sur son blog.
123456, linkedin, password, 123456789 et 12345678En réalité, un porte-parole de LinkedIn avoue «ne pas savoir combien de mots de passe ont alors été récupérés». «Nous avons appris hier qu’un jeu de données supplémentaire qui porterait supposément sur plus de 100 millions de comptes et proviendrait du même vol de 2012, aurait été mis en ligne. Nous prenons des mesures immédiates pour annuler ces mots de passe et allons contacter nos membres. Nous n’avons pas d’éléments qui nous permettent d’affirmer que ce serait le résultat d’une nouvelle faille de sécurité», ajoute LinkedIn sur son blog.
Selon LeakedSource, la base de données aurait été détenue jusqu’alors par un groupe de pirates russes. Ces informations de connexion, même si elles remontent à 2012, ont encore une grande valeur. Elles peuvent être utilisées tout à la fois pour pénétrer dans d’autres comptes plus critiques (sites d’e-commerce, banque en ligne…) ou organiser des campagnes de phishing, une technique utilisée pour obtenir les renseignements personnels d’internautes. Nombre d’utilisateurs utilisent la même combinaison d’adresse email et de mot de passe sur tous les sites, et en changent peu souvent, ce qui démultiplie les effets de tels piratages.Preuve de cette imprudence générale, les cinq mots de passe les plus utilisés dans le fichier mis en vente étaient 123456, linkedin, password, 123456789 et 12345678… [Lire la suite]
|
Source : Plus de 100 millions de mots de passe LinkedIn dans la nature