Un hacker russe aurait piraté et récupéré plus de 6,458 millions de mots de passe dans la base de données du réseau social professionnel LinkedIn, aucun nom d’utilisateur n’a été divulgué sur le forum en question, mais nous savons de source sûre que le pirate est également en possession des adresses mail associées. Un vol confirmé par le directeur du site, Vincente Silveira, qui s’excuse sur le blog :
Nous voulons fournir ce matin une mise à jour sur les rapports des mots de passe volés. Nous pouvons confirmer que certains mots de passe compromis correspondent aux comptes LinkedIn [...] Nous nous excusons sincèrement pour les désagréments que cela a causé à nos membres. Nous prenons la sécurité de nos membres au sérieux.
Quelques explications
Lors de la création de votre mot de passe sur un site, ce dernier passe ensuite dans un algorithme de Hash, dans ce cas SHA-1, afin d’être stocké de manière « chiffré », donc « sécurisé », dans la base de données. Or, nous savons que depuis 2005, l’algorithme utilisé par LinkedIn, SHA-1, est considéré comme non fiable. LinkedIn aurait pu éventuellement, pour renforcer la sécurité, ajouter un « salt » afin d’augmenter la difficulté lors d’une tentative de cracking des mots de passe. Quoi qu’il en soit, une enquête interne est actuellement menée.
Le Journal du Geek
monpixel
7 juin, 2012, 13:10 #1sha1(salt.md5(salt.mdp)) –> Comment ça je suis parano ?!
Chrystelle
7 juin, 2012, 13:12 #2iro
7 juin, 2012, 13:29 #3oolongtea
7 juin, 2012, 13:53 #4@Chrystelle: Hors -> Or *T_T*
mike
7 juin, 2012, 14:00 #5Le cloud ne pourra jamais remplacer les bons disques durs personnels dans nos pc.
Le cloud ne sera jamais assez sécurisé pour que je lui fasse confiance pour mes données personnelles.
C’est bien, plus il y aura des affaires comme celle la, cela pourra refroidir les détenteurs du tout dans les nuages dont je suis purement contre.
Chrystelle
7 juin, 2012, 14:12 #6oolongtea : non mais cherche pas, aujourd’hui c’est pas mon jour ^^’
Pijey
7 juin, 2012, 14:14 #7Petite précision, l’utilisation de SHA1 permet de « hacher » et non pas de « chiffrer », qui sont deux notions bien différentes en sécurité !
oolongtea
7 juin, 2012, 14:24 #8@Chrystelle: J’espère que tu m’en veux pas, j’étais en pleine crise ;p
Chrystelle
7 juin, 2012, 14:25 #9Non non au contraire il faut me le dire, surtout aujourd’hui, je n’arrête pas
Mais c’est bon, promis, je passe en mode « concentrée à 100% » 
millman
7 juin, 2012, 14:38 #10Ouai enfin même s’ils n’ont pas de salt déchiffré les 6,458 millions de mots de passe est bien trop long pour être réalisable.
sangui
7 juin, 2012, 15:40 #11@millman y’en a deja plus d’ 1 millions de cracker
@Chrystelle : tres bon article, tres pro congrats
Tom C.
7 juin, 2012, 15:42 #12Trop long pour être réalisable ??
Lis ça pour changer d’avis : http://stacksmashing.net/2010/11/15/cracking-in-the-cloud-amazons-new-ec2-gpu-instances/
matt
7 juin, 2012, 16:15 #13@millman : Pas nécessairement irréalisable, avec les tables arc-en-ciel appropriées.
Stanislas
7 juin, 2012, 17:38 #14Hacher est un mauvais anglissisme (à la limite on peut utiliser hasher), en français on parle de condensé pour un hash.
Et concernant la récupération des mots de passe à partir de ces condensés SHA-1, ce n’est même pas nécessaire de récupérer des rainbow tables ou des outils utilisant des dictionnaires, il existe déjà de nombreux sites Web qui offrent le service clé en main (ex: http://www.stringfunction.com/sha1-decrypter.html)
Simvetanylen
7 juin, 2012, 20:55 #15Faire des rainbow tables sur du sha-1 alors qu’il existe des méthodes pour trouver des collisions ça n’a pas de sens. Pas plus que de mettre des salt.
Beaucoup de kikoo dans les commentaires de cet article :-/
KorpuS
8 juin, 2012, 08:20 #16« Nous prenons la sécurité de nos membres au sérieux. »
C’est pour cela qu’on utilise du SHA-1 et aucun grain de sel !
Excellent !