Piratage LinkedIn : 167 millions de victimes ?

Stupeur et tremblements dans la maison LinkedIn.

Le réseau social BtoB se rappelle au souvenir d’un épisode que l’on croyait clos : une attaque informatique subie au printemps 2012 avec, à la clé, un piratage qualifié de « massif »*.

On en était resté, au bilan officiel, à 6,5 millions de mots de passe exfiltrés.

Les estimations viennent d’être revues à la hausse… et pas qu’un peu : 167 millions de comptes seraient en fait touchés, c’est-à-dire l’intégralité de la base d’utilisateurs revendiquée par LinkedIn à l’époque des faits.

C’est tout du moins ce que suggère le dénommé Troy Hunt.

Ce chercheur en sécurité, à l’origine du site « Have I been pwned ? », a pu prendre connaissance, via le moteur spécialisé LeakedSource, d’une partie des données volées. Les adresses e-mail lui ont permis de prendre contact avec plusieurs personnes qui ont confirmé que le mot de passe associé était bien celui qu’elles utilisaient en 2012.

L’alerte avait été lancée en début de semaine après la mise en vente, sur « The Real Deal » (place de marché du darkweb), de ce jeu de données, pour 5 bitcoins, soit environ 2 000 euros.

Le vendeur, qui se présente sous le pseudo « peace_of_mind », a fourni quelques détails à Vice. Sur les 167 millions d’adresses e-mail qui ont fuité, 117 millions sont liées à un mot de passe.

D’après l’analyse de Troy Hunt, ces mots de passe sont chiffrés, mais avec l’algorithme SHA1, aujourd’hui considéré comme offrant une protection insuffisante.

On notera par ailleurs l’absence de salage (ajout de chiffres aléatoires à la fin des hashs). Assez pour permettre à LeakedSource de craquer 90 % des mots de passe en l’espace de 72 heures.

LinkedIn ne confirme pas ces différents chiffres. L’entreprise américaine précise toutefois avoir, par mesure de précaution, commencé à invalider des mots de passe. En l’occurrence, ceux qui n’ont pas été modifiés depuis la date du piratage.

Les utilisateurs concernés seront avertis et invités à procéder à une réinitialisation. LinkedIn songe, en parallèle, à lancer des poursuites contre l’individu qui a mis les données en vente. Tout en rappelant que des mesures complémentaires sont disponibles, comme la double authentification.

* Les investigations menées dans la continuité de l’attaque auraient coûté, au bas mot, entre 500 000 et 1 million de dollars. Sans compter les frais inhérents aux divers procès intentés à LinkedIn – dont une class action en Californie.