Un tribunal californien vient d’homologuer un accord conclut par le réseau social LinkedIn et des utilisateurs Premium qui avaient engagé une action de groupe suite à la fuite de plusieurs millions de mots de passe, il y a plus de deux ans. Chaque victime obtiendra une indemnisation ne dépassant pas les 50 dollars.
L’affaire avait fait grand bruit, en juin 2012. LinkedIn, le réseau social professionnel, s’était retrouvé sous le feu des projecteurs à cause d’une fuite de plus de 6,5 millions de mots de passe appartenant à ses utilisateurs. Des hackers avaient réussi à voler ces données, qui avaient été « hachées » mais non « salées ». L’accès aux comptes concernés fut rapidement bloqué par l’entreprise américaine, les internautes étant dès lors contraints de changer de sésame.
Dans les jours suivants, une des clientes « Premium » de LinkedIn avait toutefois engagé une action de groupe à l’encontre du célèbre site, pour violation de la législation californienne et non respect de ses obligations contractuelles. L’intéressée estimait notamment que cette fuite résultait d’une négligence de la part de la firme.
LinkedIn réfute les accusations, mais préfère conclure un accord
Après plus de deux ans de procédure, les parties sont finalement arrivées à un accord (PDF) l’été dernier, lequel a été homologué par un juge le 29 janvier, comme le rapporte Ars Technica. LinkedIn accepte d’abreuver un fonds de 1,25 million de dollars, censé indemniser ses près de 800 000 utilisateurs – américains – Premium. Le réseau social est d’autre part tenu d’utiliser, pour une période de cinq ans, des fonctions de salage et de hachage s’agissant du stockage des mots de passe.
Pour autant, la firme n’a jamais reconnu avoir commis la moindre erreur dans cette affaire, puisqu’elle a toujours réfuté les accusations portées à son encontre au travers de cette action de groupe. LinkedIn a d’ailleurs expliqué au New York Times avoir conclu cet accord « pour mettre un terme aux tergiversations et aux frais de procédure ».
1 dollar pour chacune des 800 000 victimes éligibles
S’il s’agit d’une victoire pour les utilisateurs payants du réseau social, celle-ci pourra cependant paraître bien mince à certains... Il faut en effet retrancher à ces 1,25 million de dollars les frais d’avocats et autres coûts de procédure. Ce qui fait dire à ArsTechnica qu’il resterait environ 800 000 dollars, soit 1 dollar par personne « éligible ».
Pour pouvoir prétendre à une indemnisation, tout internaute américain ayant souscrit un abonnement Premium entre le 15 mars 2006 et le 7 juin 2012 est invité à se manifester sur ce site. Il est également possible de s’exclure de la procédure, afin d’engager de nouvelles poursuites contre LinkedIn. Selon l'accord, le « magot » final sera partagé entre les victimes s’étant déclarées, dans la limite toutefois de 50 dollars par personne.
Commentaires (9)
Bonne affaire pour l’avocat.
Responsable mais pas coupable … j’ai déjà vu ce cas quelque part mais ou ?? 
" />
Fallait négocier des mois gratuit plutôt que du pognon
" />
Hachés mais pas salés ? Ça veut dire que si des mots de passe ont été retrouvés, c’était des mots de passe pourris du genre password1234 ?
Ou que les hackers avaient la ou des clef…
Ça existe pas les clés, quand on hashe on peut plus faire machine arrière, donc si des mots de passe ont été trouvés (ce qui n’est même pas sûr), c’est qu’ils étaient vraiment mauvais (pass1234) ou dans le dico (arbre123) comme l’a dit Athropos.
Toi t’as jamais vu de rainbow table de ta vie ?
Aujourd’hui un simple hash md5 ne vaut rien, la plupart des combinaisons même complexes sur plusieurs caractères sont connues. Avec la puissance des machine et les espaces de stockages qui ne cessent de croître il est naif de croire qu’un mot de passe complexe suffit à être protégé.
C’est pas une clef, et on ne dé-hashe pas, c’était mon propos.