{"id":117,"date":"2012-06-07T10:30:56","date_gmt":"2012-06-07T08:30:56","guid":{"rendered":"http:\/\/blog.asafety.fr\/?p=117"},"modified":"2014-10-18T17:01:43","modified_gmt":"2014-10-18T15:01:43","slug":"6-5-sur-150-millions-des-comptes-linkedin-ont-ete-voles","status":"publish","type":"post","link":"https:\/\/www.asafety.fr\/en\/actualites-news\/6-5-sur-150-millions-des-comptes-linkedin-ont-ete-voles\/","title":{"rendered":"6,5 sur 150 millions des comptes LinkedIn ont \u00e9t\u00e9 vol\u00e9s"},"content":{"rendered":"

<\/p>\n

LinkedIn, l’un des plus grand r\u00e9seau social professionnel en ligne, fait pol\u00e9mique depuis hier quant \u00e0 une br\u00e8che sur son syst\u00e8me qui a permis \u00e0 un pirate russe de voler environ 6.5 millions de login\/password.<\/p>\n

\"LinkedIn\"<\/p>\n

Ces logins\/passwords (hash SHA-1 sans sel) ont \u00e9t\u00e9 diffus\u00e9s sur des boards russes et la communaut\u00e9 underground<\/em> s’est aussit\u00f4t mise \u00e0 casser les mots de passe. Ils sont t\u00e9l\u00e9chargeables facilement sous forme d’une archive d’environ 120Mo.<\/p>\n

SophosLabs a \u00e9valu\u00e9 le nombre de hash unique qui s’\u00e9l\u00e8ve \u00e0 5,8 millions, dont presque 4 millions semble d\u00e9j\u00e0 avoir \u00e9t\u00e9 crack\u00e9s et diffus\u00e9s.<\/p>\n

LinkedIn a \u00e9videmment entrepris de se prot\u00e9ger. Les 6,5 millions de comptes potentiellement corruptibles se voient forc\u00e9s de changer leur mot de passe. Un e-mail de reset<\/em> de mot de passe leur a \u00e9t\u00e9 envoy\u00e9.<\/p>\n

Tous les nouveaux mots de passe seront \u00e0 pr\u00e9sent avec un salt<\/a>\u00a0au sein des bases de donn\u00e9es LinkedIn.<\/p>\n

La raison initiale de ce bref article n’est pas de\u00a0rab\u00e2cher\u00a0une news d\u00e9j\u00e0 fortement diffus\u00e9e, ni de ne faire que du plagiat d’autres articles, non. Je souhaite juste mettre en avant un aspect que les casseurs de mots de passe LinkedIn semblent avoir mis en place pour augmenter leur taux de r\u00e9ussite.<\/p>\n

En parcourant les diverses news et liens relatifs \u00e0 ce piratage de LinkedIn, je suis tomb\u00e9 sur de nombreux sites vous proposant de “v\u00e9rifier si votre mot de passe fait parti de ceux pirat\u00e9s<\/strong>“. Certes, certains doivent juste faire une v\u00e9rification l\u00e9gitime, mais d’autres doivent enregistrer votre mot de passe apr\u00e8s avoir trouv\u00e9 sa correspondance hash\u00e9e dans ceux restant \u00e0 cracker…<\/p>\n

C’est tout b\u00eate, et \u00e7a peut para\u00eetre cr\u00e9dible, mais ne cherchez pas \u00e0 savoir si votre mot de passe fait parti de la liste via de tels sites. Si vous voulez vraiment savoir, t\u00e9l\u00e9chargez la base de donn\u00e9es et cherchez l’empreinte SHA-1 de votre mot de passe.<\/p>\n

Pour la morale finale,\u00a0complexifiez\u00a0vos mots de passe, mettez \u00e0 jour celui de LinkedIn, ne faites pas confiance \u00e0 des sites tiers vous le demandant, et si vous d\u00e9veloppez des sites web communautaires, utilisez des algorithmes de hachage forts avec des salt<\/em> !<\/p>\n

R\u00e9f\u00e9rences:<\/p>\n