Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

LinkedIn : la fuite de 2012 plus large que prévu, nouvelle vague de réinitialisations

Certes, 117 >> 6,5

LinkedIn : la fuite de 2012 plus large que prévu, nouvelle vague de réinitialisations

Le 19 mai 2016 à 09h40

En 2012, LinkedIn était victime d’une fuite de données. Il était alors estimé qu’au moins 6,5 millions de comptes étaient touchés. Mais la mise en vente de la base de données fait grimper ce chiffre à 167 millions. L’entreprise a réagi en provoquant une gigantesque vague de réinitialisation des mots de passe.

En juin 2012, LinkedIn confirmait une importante fuite de données. Il était alors estimé qu’entre 6,5 et 8 millions de comptes avaient été compromis. La société n’avait pas mis longtemps à réagir. Elle avait bloqué les comptes concernés et imposé aux utilisateurs de se choisir un nouveau mot de passe pour accéder à nouveau à leurs données. Elle en profitait pour donner une série de conseils sur ce point.

167 millions de comptes pour 5 bitcoins

Mais cette fuite est visiblement beaucoup plus conséquente qu’escomptée. À la faveur de la mise en vente de la base de données contenant les adresses email et les mots de passe (alors hachés avec SHA1), on a appris qu’il s’agissait en fait d’un lot de 167 millions de comptes, dont 117 millions accompagnés du mot de passe. Des statistiques données par le site LeakedSource, spécialisé dans l’analyse des fuites d’informations.

Selon Ars Technica, cette base a été mise en vente a priori par un individu nommé « peace_of_mind », sur le site The Real Deal. Il en demande 5 bitcoins, soit au cours actuel environ 1 820 euros. Une valeur qui tient sans doute compte du fait que LinkedIn a depuis renforcé sa sécurité et colmaté la brèche initiale. Cela étant, la base représente quand même une importante liste d’adresses email, toujours utile pour du spam ou l’élaboration d’une campagne de phishing.

Une grande vague de réinitialisations

LinkedIn a d’ailleurs réagi et envoie depuis hier des emails pour avertir les personnes concernées de la suite des évènements. L’éditeur y rappelle les évènements de 2012, et s'il précise dans le billet original qu'il ne sait pas s'il s'agit d'une nouvelle fuite ou de l'ancienne, il finit par confirmer le second cas. « Nous prenons des mesures immédiates pour invalider ces mots de passe sur les comptes touchés, et nous contacterons les membres pour qu’ils les réinitialisent » peut-on ainsi lire sur le blog officiel.

LinkedIn rappelle que les mots de passe sont hachés et salés depuis « plusieurs années », et que d’autres options sont arrivées pour augmenter la sécurité des comptes, dont la plus importante est sans doute l’authentification à deux facteurs.

L'éditeur indique par ailleurs dans sa mise à jour du blog que les demandes de réinitialisation ne concernent que les utilisateurs qui n'auraient pas changé leur mot de passe depuis la fuite de 2012.

La litanie des mots de passe bien trop faibles

De son côté, LeakedSource fournit des informations sur les mots de passe utilisés. Le moins que l’on puisse dire, c’est qu’ils sont à la hauteur des attentes. Sur les 117 millions analysés, 753 305 d’entre eux sont ainsi la bête séquence « 123456 », autrement dit ce qui se faire de pire. « password » n’est qu’à la troisième place, dépassé d’une courte tête par « linkedin ».

On retrouve évidemment toutes les séries de chiffres plus ou moins longues comme « 125345679 », ou les répétitions de caractères tels que « 111111 ».  Viennent ensuite des mots de passe créés par des utilisateurs suivant très partiellement les conseils, comme « password1 » ou « abc123 », ou encore ceux qui utilisent des noms communs ou propres, tels que « charlie », « maggie » ou « sunshine ».

On ne rappellera jamais assez que la création d’un mot de passe est une étape très importante de la sécurité informatique. Il est devenu très simple d’en générer des complexes avec des solutions comme LastPass, Dashlane ou 1Password, mais ceux qui préfèrent les créer par eux-mêmes ont tout intérêt à suivre quelques règles élémentaires : créer un mot de passe unique pour chaque site si possible, ne prendre aucun mot figurant dans le dictionnaire, utiliser autant de types de caractères que possible (minuscules, majuscules, chiffres et spéciaux) et choisir une taille suffisamment longue (au moins dix caractères dès que c’est possible).

Commentaires (44)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Et pendant ce temps là les banques continuent d’imposer des mots de passes à X chiffres…



Par contre, vous n’évoquez jamais KeePass quand vous parlez des gestionnaire de mots de passe. Y a-t-il une raison particulière ?

votre avatar

Et pendant ce temps la, ma banque m’oblige à changer mon mot de passe.



C’est vrai, c’est tellement mieux de changer de mot de passe bancaire souvent et de l’écrire sur un post it pour s’en souvenir.

votre avatar
votre avatar

Normalement, les formulaires de login sont sensé être protégé (nombre de tentative) pour empêcher le bruteforce. 



Si la base de donnée est hacké, c’est le salt ultra complexe qui empêche le bruteforce. 



Si le hackeur arrive à récupérer la base de donnée ET le salt, il y a quand même de forte chance qu’il a réussi à avoir un accès au serveur web (vu que le salt ne doit être stocké que dans le serveur web, et nul par ailleurs). Dans ce cas un mot de passe complexe ne changera pas forcément grand chose, car le hackeur a potentiellement un accès au mot de passe quand il est encore en clair.



En gros, un mot de passe complexe sera utile seulement si : 




  • un hackeur récupère la base de donnée (injection sql par exemple)

  • et qu’il réussit à avoir un accès en lecture sur le fichier qui contient le salt, mais n’a pas réussi à avoir un accès en écriture sur le serveur (qui lui aurai permit de récupérer les mots de passe directement en clair). 



    … ou que les devs n’ont vraiment pas fait leur boulot correctement (ici, pas de salt). 

     

votre avatar

La fainéantise d’une vaste majorité de développeurs php à appréhender les concepts élémentaires de sécurité me dépassera toujours je crois.

 Le manuel recommendait déjà le salting quand on écrivait encore “<?php3” en en-tête !

votre avatar

Concernant la partie mot de passe, ce que j’ai vu de pire pour l’instant c’est une société qui donne un login/mot de passe, les deux étant le numéros de contrat (!). Leur site web n’offre aucune possibilité de le changer, la seule solution étant d’envoyer un courrier (véridique) avec l’identifiant et le mot de passe souhaité (!!!!!)

votre avatar

Encore une bonne pub pour le bitcoin!

votre avatar

1password est dorénavant à 78\( pour 1 utilisateur...

Ou en abonnement mensuel de 5\) pour la version famille.



Bien trop cher pour un gestionnaire de mot de passe.

votre avatar

Rhaaaaa les mots de passe.

L’histoire est un éternel recommencement.<img data-src=" />

votre avatar

On peut voir quelque part si notre compte est compromis et dans quelle mesure ? En bref, si mon compte se retrouve dans cette fuite (je pense qu’il y a de grandes chances). J’ai reçu un mail de LinkedIn aujourd’hui me disant qu’il fallait que je réinitialise mon mot de passe justement, j’ai d’abord cru à du phishing car il était marqué comme “spam”.

votre avatar

Heu, ouai, une pub qui ne cible que ceux qui serait intéressé par une liste de login de linkdln…&nbsp;<img data-src=" />

Ca doit pas avoir incité tant de gens que ça à utiliser le bitcoin…&nbsp;<img data-src=" />

votre avatar

je vais enfin pouvoir recycler les répliques de Kamoulox

votre avatar

C’était ironique. Ce que je veux dire c’est que de plus en plus, quand j’entends parler de bitcoin dans la presse, ça va de paire avec des demandes de rançons <img data-src=" />

votre avatar







Bamaury a écrit :



Ce que je veux dire c’est que de plus en plus, quand j’entends parler de bitcoin dans la presse, ça va de paire avec des demandes de rançons <img data-src=" />





<img data-src=" />

À moins que tu ne voulais parler d’une paire en particulier ?




  • de couilles ?

  • de fesses ?

  • de seins ?


votre avatar

de claques !&nbsp;<img data-src=" />

votre avatar







Neocray a écrit :



https://xkcd.com/936/





Rien à faire, on n’aura jamais fini de le répéter…



Tous ces fichus générateurs de mots de passe incrackables sortent tous des mdp aussi impossible à retenir que l’anniversaire du 5ème cousin par alliance du fils de la coiffeuse de votre patron. C’est une crétinerie de les utiliser puisqu’après on s’oblige à utiliser une gestionnaire de login pour continuer à vivre avec ses identifiants. Cible tellement plus intéressante pour les hackers…


votre avatar







ColinMaudry a écrit :



Personnellement je l’ai couplé à la gestion des mots de passe de Firefox (Sync) avec mot de passe maître, et ça marche bien.





Je suis curieux du lien avec Firefox Sync. Est-ce que tu utilises KeeFox, ou quelque chose d’autre ?


votre avatar

Je ne sais quand tu as essayé la dernière fois, mais en ce qui me concerne ça fonctionne bien en étant sous Windows et Android, en utilisant une base en v2 partagée sur Google Drive.



Sur Android, j’utilise Keepass2Android qui est Open Source.



J’utilisais de temps à autre la même base sur Mac via KeepassX (il me semble) et ça fonctionnait aussi.


votre avatar

Merci camarade. <img data-src=" />

votre avatar

Non, pas de lien direct. A la création d’un mot de passe dans KeepassX, je le colle dans la page. Et Firefox s’en souvient.



Il me semble que KeeFox ne marche qu’avec la version 2 de Keepass, et je n’avais pas trouvé d’application sous Android pour ouvrir les fichiers de format Keepass 2. Du coup je reste sur le format v1.

votre avatar

De rien mais remercie plutôt Spider Oak et Snowden <img data-src=" />

votre avatar

Keepass2android pour utiliser des bdd keepass 2



Personnellement c’est KeePassx sur nux et win, plus keepass2android (offline version). Et je fais la synchro du fichier via owncloud sur mon dédié.

votre avatar







Nozalys a écrit :



Rien à faire, on n’aura jamais fini de le répéter…



Tous ces fichus générateurs de mots de passe incrackables sortent tous des mdp aussi impossible à retenir que l’anniversaire du 5ème cousin par alliance du fils de la coiffeuse de votre patron. C’est une crétinerie de les utiliser puisqu’après on s’oblige à utiliser une gestionnaire de login pour continuer à vivre avec ses identifiants. Cible tellement plus intéressante pour les hackers…







C’est mieux d’avoir une pass phrase qu’on va réutiliser partout parce que trop compliqué à retenir ?


votre avatar

Oh je vois. Le soucis pour moi serait d’avoir mes mots de passe doublés entre Keepass et Firefox dans ce cas.



Si jamais tu as envie de re-tester Keefox, sache que sous Android tu as Keepass2Android qui fonctionne très bien avec la v2 de keepass, est open source, et marche bien avec Google Drive / Drop Box / etc.

votre avatar

Franchement, je me pose la question depuis un certain temps…………. sans avoir trouvé la solution idéale.



Je crois qu’une passphrase avec 1 ou 2 caractères qui changent selon le site/service avec une logique que tu retiendras facilement est mieux que d’utiliser un gestionnaire de pwd. Dans le premier cas t’es le seul à connaître tes MDP et la règle que tu t’es instaurée. Dans le second cas, tes mdp sont stockés quelque part… crypté certes (j’espère :o) mais à quel point, et pour combien de temps.. ?

votre avatar

Avec Firefox Sync, sait-on quel degré de chiffrage est utilisé ?

votre avatar

Je n’ai pas de réponse définitive, en regardant vite fait, on trouve des liens qui se base sur Weave, l’ancêtre de Firefox Sync :https://wiki.mozilla.org/Labs/Weave/Crypto ethttps://wiki.mozilla.org/Labs/Weave/Developer/Crypto

Visiblement, si c’est resté la même chose, il s’agit d’AES256 effectué localement.

votre avatar

merci pour l’info :)

votre avatar

moi mon passe Copé2017 ils ne le trouveront jamais, je suis tranquille

votre avatar







Altair31 a écrit :



Par contre, vous n’évoquez jamais KeePass quand vous parlez des gestionnaire de mots de passe. Y a-t-il une raison particulière ?



Personnellement, je n’utilise pas Keepass car la synchro multi-périphérique (iOS, Android, Mac, Windows) est une plaie.



&nbsp;J’utilise 1password depuis quelques années et j’en suis satisfait, s’il était libre ça serait mieux en effet !


votre avatar







darkbeast a écrit :



moi mon passe Copé2017 ils ne le trouveront jamais, je suis tranquille





je suis plus efficace :

2032Cheminade.

Avec un C majuscule et un point.


votre avatar

Je ne comprends pas pourquoi la politique de sécurité des sites internet tolèrent ce genre de mot de passe. Pourquoi ne pas obligé l’utilisateur à choisir un mot de passe avec 8 caractères minimum ? Obligation de mettre au moins 1 chiffre, 2 lettres, dont 1 majuscule, ainsi que 1 caractère spécial.

votre avatar

En fait les gens ne comprennent pas à quoi sert un mot de passe. Ca doit juste être une lourdeur pour eux, « mais moi je veux juste voir mon compte, pourquoi il faut toujours que je tape ce machin inutile ! ». Tu m’étonnes qu’avec ça ils n’ont “rien à cacher”…



Perso je suis en train de tester Encryptr, sur des mots de passe pas très importants. C’est Spider Oak qui l’édite, c’est multiplateforme, et open source (GPLv3). A ma connaissance c’est le seul éditeur qui fait des produits “zero knowledge”. C’est Snowden himself qui les conseille <img data-src=" />

votre avatar

pass est aussi une solution intéressante pour regrouper ses mots de passe, et basée sur des outils opensource que sont GIT et GPG :)

votre avatar

Bon, il est temps que je change mon 123456 par 654321

votre avatar

Mais…? On a le droit de mettre autre chose que 123456 ??

votre avatar

Avec Dropbox, Drive, OneDrive, Cloudstation, etc. ça marche bien. Surtout que le fichier est chiffré, donc pas de soucis de vie privée.



Le soucis est de trouver sur mobile/tablette un programme qui l’ouvre bien.



Personnellement je l’ai couplé à la gestion des mots de passe de Firefox (Sync) avec mot de passe maître, et ça marche bien. Par contre, j’ai mis ma mère sur LastPass, plus simple pour elle.

votre avatar



LinkedIn rappelle que les mots de passe sont hachés et salés depuis « plusieurs années »,



Mais manifestement pas en 2012 quand la fuite a eu lieu puisque l’on peut lire sur LeakedSource :



Passwords were stored in SHA1 with no salting



C’est d’ailleurs pour cela qu’ils on pu retrouver les mots de passe simplets.



Je trouve cette communication de LinkedIn faux-cul et peu professionnelle : Ils n’indiquent pas clairement que ceux qui avaient un mot de passe à l’époque et qui ne l’ont pas modifié ne sont pas bien protégés s’il est facile à bruteforcer.



J’ai reçu mon petit mail ce matin !

votre avatar







bilbonsacquet a écrit :



Personnellement, je n’utilise pas Keepass car la synchro multi-périphérique (iOS, Android, Mac, Windows) est une plaie.



&nbsp;J’utilise 1password depuis quelques années et j’en suis satisfait, s’il était libre ça serait mieux en effet !





Aucun problème pour moi entre win et droid


votre avatar







Altair31 a écrit :



Et pendant ce temps là les banques continuent d’imposer des mots de passes à X chiffres…



Par contre, vous n’évoquez jamais KeePass quand vous parlez des gestionnaire de mots de passe. Y a-t-il une raison particulière ?





Vu que le compte est grillé au bout de trois essais, difficile de le bruteforcer.


votre avatar

Parce que c’est inutile ? J’ai horreur des sites qui imposent de mettre toutes les classes de caractères dans un mdp. Ma passphrase de 55 lettres minuscules est bien plus efficaces que ‘Pwd&12’

votre avatar







Jarodd a écrit :



En fait les gens ne comprennent pas à quoi sert un mot de passe. Ca doit juste être une lourdeur pour eux, « mais moi je veux juste voir mon compte, pourquoi il faut toujours que je tape ce machin inutile ! ». Tu m’étonnes qu’avec ça ils n’ont “rien à cacher”…









C’est exactement ce que je vois autour de moi. <img data-src=" />


votre avatar

c’est pareil pour FB mais une chercheuse à réussie sur facebook beta : il ne comptaient pas le nb d’éssais

votre avatar

Yep, j’y pensais justement, comme à chaque sujet/news sur le sujet.

Mais en général, les sites imposent cette idiotie de devoir mettre chiffres, majuscules/minuscules, et autres caractères spéciaux, tout en limitant la longueur du mot de passe, alors que, comme le (dé)montre parfaitement ce xkcd, c’est bien sur cette longueur que l’on accroît exponentiellement la sécurité du mot de passe, même s’il ne comporte que des caractères communs.

Ce qui m’accable est que l’on continue de soutenir cette démarche d’usage de caractères alakon.

LinkedIn : la fuite de 2012 plus large que prévu, nouvelle vague de réinitialisations

  • 167 millions de comptes pour 5 bitcoins

  • Une grande vague de réinitialisations

  • La litanie des mots de passe bien trop faibles

Fermer