LinkedIn, l’un des plus grand réseau social professionnel en ligne, fait polémique depuis hier quant à une brèche sur son système qui a permis à un pirate russe de voler environ 6.5 millions de login/password.
Ces logins/passwords (hash SHA-1 sans sel) ont été diffusés sur des boards russes et la communauté underground s’est aussitôt mise à casser les mots de passe. Ils sont téléchargeables facilement sous forme d’une archive d’environ 120Mo.
SophosLabs a évalué le nombre de hash unique qui s’élève à 5,8 millions, dont presque 4 millions semble déjà avoir été crackés et diffusés.
LinkedIn a évidemment entrepris de se protéger. Les 6,5 millions de comptes potentiellement corruptibles se voient forcés de changer leur mot de passe. Un e-mail de reset de mot de passe leur a été envoyé.
Tous les nouveaux mots de passe seront à présent avec un salt au sein des bases de données LinkedIn.
La raison initiale de ce bref article n’est pas de rabâcher une news déjà fortement diffusée, ni de ne faire que du plagiat d’autres articles, non. Je souhaite juste mettre en avant un aspect que les casseurs de mots de passe LinkedIn semblent avoir mis en place pour augmenter leur taux de réussite.
En parcourant les diverses news et liens relatifs à ce piratage de LinkedIn, je suis tombé sur de nombreux sites vous proposant de “vérifier si votre mot de passe fait parti de ceux piratés“. Certes, certains doivent juste faire une vérification légitime, mais d’autres doivent enregistrer votre mot de passe après avoir trouvé sa correspondance hashée dans ceux restant à cracker…
C’est tout bête, et ça peut paraître crédible, mais ne cherchez pas à savoir si votre mot de passe fait parti de la liste via de tels sites. Si vous voulez vraiment savoir, téléchargez la base de données et cherchez l’empreinte SHA-1 de votre mot de passe.
Pour la morale finale, complexifiez vos mots de passe, mettez à jour celui de LinkedIn, ne faites pas confiance à des sites tiers vous le demandant, et si vous développez des sites web communautaires, utilisez des algorithmes de hachage forts avec des salt !
Références: