Une violation de données en 2012 qui aurait révélé 6,5 millions de mots de passe hachés pour les utilisateurs de LinkedIn a probablement touché plus de 117 millions de comptes, selon la société. En réponse, le géant des réseaux d’entreprise a déclaré aujourd’hui qu’il forcerait à nouveau la réinitialisation du mot de passe pour les utilisateurs individuels susceptibles d’être touchés par la violation étendue.
La brèche de 2012 a été révélée pour la première fois lorsqu’un pirate a publié une liste de quelque 6,5 millions de mots de passe uniques sur un forum populaire où les membres se portent volontaires ou peuvent être embauchés pour pirater des mots de passe complexes. Les membres du forum ont réussi à déchiffrer certains mots de passe et ont finalement remarqué qu’un nombre démesuré de mots de passe qu’ils étaient capables de déchiffrer contenaient une variation de « linkedin ».
LinkedIn a répondu en forçant une réinitialisation du mot de passe sur les 6,5 millions de comptes concernés, mais cela s’est arrêté là. Mais plus tôt aujourd’hui, des rapports ont fait surface à propos d’un fil de vente sur un bazar de cybercriminalité en ligne dans lequel le vendeur a proposé de vendre 117 millions de disques volés lors de la violation de 2012. De plus, le moteur de recherche payant de données piratées FuiteSource prétend avoir une copie consultable de la base de données de 117 millions d’enregistrements (ce service a déclaré avoir trouvé mon adresse e-mail LinkedIn dans le cache de données, mais il m’a demandé de payer 4,00 $ pour un abonnement d’essai d’une journée afin de voir les données ; j’ai refusé ).
Inexplicablement, la réponse de LinkedIn à la violation la plus récente est de répéter l’erreur commise lors de la violation d’origine, en forçant à nouveau une réinitialisation du mot de passe pour seulement un sous-ensemble de ses utilisateurs..
« Hier, nous avons pris connaissance d’un ensemble supplémentaire de données qui venait d’être publié et qui prétend être des combinaisons d’e-mails et de mots de passe hachés de plus de 100 millions de membres de LinkedIn à partir de ce même vol en 2012 », a écrit Cory Scottdans un article sur le blog de l’entreprise. « Nous prenons des mesures immédiates pour invalider les mots de passe des comptes concernés, et nous contacterons ces membres pour réinitialiser leurs mots de passe. Nous n’avons aucune indication que cela soit le résultat d’une nouvelle faille de sécurité.
Porte-parole LinkedIn Hani Durzy a déclaré que la société avait obtenu une copie de la base de données de 117 millions d’enregistrements et que LinkedIn pensait qu’elle était réelle.
« Nous pensons que cela provient de la violation de 2012 », a déclaré Durzy dans un e-mail à BreachTrace. « Combien de ces 117m sont actifs et le courant est toujours à l’étude. »
Concernant la décision de ne pas forcer la réinitialisation d’un mot de passe à tous les niveaux en 2012, Durzy a déclaré: «Nous avons fait à l’époque ce que nous pensions être dans le meilleur intérêt de notre base de membres dans son ensemble, en essayant d’équilibrer la sécurité pour ceux dont les mots de passe étaient compromis sans perturber l’expérience LinkedIn pour ceux qui ne semblaient pas concernés.
Le chiffre de 117 millions a du sens : LinkedIn dit il compte plus de 400 millions d’utilisateurs, mais les rapports suggèrent seulement environ 25 % de ces comptes sont utilisés mensuellement.
Alex Holdenco-fondateur du cabinet de conseil en sécurité Garder la sécuritéa été parmi les premiers à découvrir le cache original de 6,5 millions en 2012 — peu de temps après sa publication sur le forum de craquage de mots de passe InsidePro. Holden a déclaré que les 6,5 millions de mots de passe cryptés étaient tous uniques et n’incluaient aucun mot de passe simple à déchiffrer avec des outils ou des ressources rudimentaires. [full disclosure: Holden’s site lists this author as an adviser, however I receive no compensation for that role].
« Ce sont juste ceux que le gars qui l’a posté ne pouvait pas déchiffrer », a déclaré Holden. « J’ai toujours pensé que le pirate informatique n’avait tout simplement pas publié sur le forum tous les mots de passe faciles qu’il pouvait déchiffrer lui-même. »
Selon LeakedSource, seuls 50 mots de passe faciles à deviner représentaient plus de 2,2 millions des 117 millions de mots de passe cryptés exposés lors de la violation.
« Les mots de passe étaient stockés dans SHA1 sans salage », affirme le site de vente de mots de passe. « Ce n’est pas ce que proposent les standards de l’internet. Seuls 117 millions de comptes ont des mots de passe et nous soupçonnons que les utilisateurs restants se sont enregistrés en utilisant Facebook ou quelque chose de similaire.
SHA1 est l’une des différentes méthodes de « hachage » – c’est-à-dire d’obscurcissement et de stockage – des mots de passe en texte brut. Les mots de passe sont « hachés » en prenant le mot de passe en texte brut et en l’exécutant sur un algorithme mathématique théoriquement unidirectionnel qui transforme le mot de passe de l’utilisateur en une chaîne de chiffres et de lettres charabia censée être difficile à inverser.
La faiblesse de cette approche est que les hachages en eux-mêmes sont statiques, ce qui signifie que le mot de passe « 123456 », par exemple, calculera toujours le même hachage de mot de passe. Pour aggraver les choses, il existe de nombreux outils capables de mapper très rapidement ces hachages à des mots, noms et expressions courants du dictionnaire, ce qui annule essentiellement l’efficacité du hachage. De nos jours, le matériel informatique est devenu si bon marché que les attaquants peuvent facilement et à très bas prix construire des machines capables de calculer des dizaines de millions de hachages de mots de passe possibles par seconde pour chaque nom d’utilisateur ou adresse e-mail correspondant.
Mais en ajoutant un élément unique, ou «sel», à chaque mot de passe utilisateur, les administrateurs de base de données peuvent compliquer considérablement les choses pour les attaquants qui peuvent avoir volé la base de données utilisateur et s’appuyer sur des outils automatisés pour déchiffrer les mots de passe utilisateur.
LinkedIn a déclaré avoir ajouté du sel à sa fonction de hachage de mot de passe après la violation de 2012. Mais si vous êtes un utilisateur de LinkedIn et que vous n’avez pas changé votre mot de passe LinkedIn depuis 2012, votre mot de passe peut ne pas être protégé par les fonctionnalités de salage supplémentaires. Du moins, c’est ma lecture de la situation depuis Publication de 2012 de LinkedIn sur la violation.
Si vous n’avez pas changé votre mot de passe LinkedIn depuis un moment, ce serait probablement une bonne idée. Plus important encore, si vous utilisez votre mot de passe LinkedIn sur d’autres sites, changez ces mots de passe en mots de passe uniques. Comme cette violation nous le rappelle, la réutilisation de mots de passe sur plusieurs sites contenant des informations personnelles et/ou financières vous concernant est une idée moins que stellaire.