Passer au contenu

LinkedIn confirme le vol de mots de passe et mène son enquête

Un hacker russe aurait piraté et récupéré plus de 6,458 millions de mots de passe dans la base de données du réseau social professionnel LinkedIn, aucun…

Un hacker russe aurait piraté et récupéré plus de 6,458 millions de mots de passe dans la base de données du réseau social professionnel LinkedIn, aucun nom d’utilisateur n’a été divulgué sur le forum en question, mais nous savons de source sûre que le pirate est également en possession des adresses mail associées. Un vol confirmé par le directeur du site, Vincente Silveira, qui s’excuse sur le blog :

Nous voulons fournir ce matin une mise à jour sur les rapports des mots de passe volés. Nous pouvons confirmer que certains mots de passe compromis correspondent aux comptes LinkedIn […] Nous nous excusons sincèrement pour les désagréments que cela a causé à nos membres. Nous prenons la sécurité de nos membres au sérieux.

Quelques explications
Lors de la création de votre mot de passe sur un site, ce dernier passe ensuite dans un algorithme de Hash, dans ce cas SHA-1, afin d’être stocké de manière “chiffré”, donc “sécurisé”, dans la base de données. Or, nous savons que depuis 2005, l’algorithme utilisé par LinkedIn, SHA-1, est considéré comme non fiable. LinkedIn aurait pu éventuellement, pour renforcer la sécurité, ajouter un “salt” afin d’augmenter la difficulté lors d’une tentative de cracking des mots de passe. Quoi qu’il en soit, une enquête interne est actuellement menée.

LinkedIn

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

16 commentaires
  1. Mais quelle connerie ce site… purée pas compliquer de foutre un salt, allez y auraient même pu faire un petit combo :
    sha1(salt.md5(salt.mdp)) –> Comment ça je suis parano ?!

  2. Et on veut qu’on mette toute nos données dans le cloud, je ne le ferais jamais juste pour ses affaires répétitions de vol de données.
    Le cloud ne pourra jamais remplacer les bons disques durs personnels dans nos pc.
    Le cloud ne sera jamais assez sécurisé pour que je lui fasse confiance pour mes données personnelles.
    C’est bien, plus il y aura des affaires comme celle la, cela pourra refroidir les détenteurs du tout dans les nuages dont je suis purement contre.

  3. Petite précision, l’utilisation de SHA1 permet de “hacher” et non pas de “chiffrer”, qui sont deux notions bien différentes en sécurité !

  4. Non non au contraire il faut me le dire, surtout aujourd’hui, je n’arrête pas 😀 Mais c’est bon, promis, je passe en mode “concentrée à 100%” 🙂

  5. Ouai enfin même s’ils n’ont pas de salt déchiffré les 6,458 millions de mots de passe est bien trop long pour être réalisable.

  6. @millman y’en a deja plus d’ 1 millions de cracker 🙂

    @Chrystelle : tres bon article, tres pro congrats

  7. Hacher est un mauvais anglissisme (à la limite on peut utiliser hasher), en français on parle de condensé pour un hash.

    Et concernant la récupération des mots de passe à partir de ces condensés SHA-1, ce n’est même pas nécessaire de récupérer des rainbow tables ou des outils utilisant des dictionnaires, il existe déjà de nombreux sites Web qui offrent le service clé en main (ex: http://www.stringfunction.com/sha1-decrypter.html)

  8. Faire des rainbow tables sur du sha-1 alors qu’il existe des méthodes pour trouver des collisions ça n’a pas de sens. Pas plus que de mettre des salt.

    Beaucoup de kikoo dans les commentaires de cet article :-/

  9. “Nous prenons la sécurité de nos membres au sérieux.”
    C’est pour cela qu’on utilise du SHA-1 et aucun grain de sel !
    Excellent !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Mode