Fuite de mots de passe : action de groupe contre LinkedIn
Aux États-Unis, le réseau social professionnel LinkedIn doit faire face à une action collective intentée à son encontre pour ne pas avoir correctement protégé les données d'utilisateurs qui ont fuité.
LinkedIn n'est décidément pas à la fête. Après l'affaire médiatisée de la fuite de hashes de mots de passe, l'image du réseau social professionnel en a pris un petit coup. Une affaire qui pourrait prendre une tournure judiciaire.
C'est l'objet d'une action de groupe intentée aux États-Unis. À l'origine de cette action, une habitante de l'Illinois qui reproche à LinkedIn de ne pas avoir respecté des standards de sécurité pour protéger efficacement ses données.
Début juin, des utilisateurs ont appris que quelque 6,5 millions de mots de passe LinkedIn avaient été publiés sur un forum russe. Pour la plaignante, LinkedIn a eu recours à des méthodes de chiffrement insuffisantes pour sécuriser les données des utilisateurs, ce qui a permis aux attaquants de déchiffrer facilement une grande quantité des mots de passe.
C'est en fait un reproche que plusieurs experts en sécurité ont formulé. Les données qui ont fuité étaient notamment des hashes de mots de passe ( pas en clair donc ) via SHA-1. Mais pas de salage qui consiste à insérer des caractères aléatoires dans le mot de passe haché pour offrir une protection supplémentaire contre les attaques de type dictionnaire.
La plainte, qui fait également référence à une attaque par injection SQL, demande des dommages-intérêts dont le montant dépasse 5 millions de dollars.
Depuis cette mésaventure, LinkedIn a indiqué que le salage est appliqué. Par ailleurs, une porte-parole a déclaré à Computerworld " qu'aucun compte n'a été compromis à la suite de l'incident, et nous n'avons aucune raison de croire que des membres de LinkedIn ont été lésés ". Et de pointer du doigt des avocats qui tentent de profiter de la situation.
-
L'UFC-Que Choisir parle d'une déception immense à l'issue de la présentation du projet de loi de modernisation de l'économie et déplore l'absence d'une action de groupe à la française. -
Depuis ce matin 9 heures, à l'initiative de deux associations de consommateurs, l' UFC - Que Choisir et la CLCV (Consommation Logement et Cadre de Vie), le site Web ensemblejustice.
Vos commentaires
C'est vrai cela : on se demande aussi pourquoi les gens ont besoin d'aller sur Internet ?
Ils ne sont pas raisonnable.
On ne devrait aller sur le web qu'en reprogrammant toutes les couches de A à Z et en encryptant tout. Bien sur on devrait aussi utiliser un VPN en permanence et un brouilleur de micros chez soi.
Moi meme je met un bas sur ma tete deavnt mon ordinateur et des preservatifs au bout des doigts : on n'est jamais trop prudent
Et si tu trouves que les mesures DE BASE que j'ai citées sont trop extrêmes, j'espère au moins que tu as la cohérence de trouver normal que les hashes ne soient pas salés. Au passage, un mot de passe pourri, salé ou pas salé ça change pas grand chose.
db
Effectivement, on a beau être sur un site méga-sécurisé avec un OS méga-sécurisé, le système "brute force" (ou simplement un peu de logique) passera toutes les barrières si les mots de passe sont faibles, voir très faibles (la majorité des cas). Les utilisateurs lambda ne veulent pas avoir 36 mots de passe à retenir ou à consulter et ils gardent le même dans 90 % des cas. Je le vis au quotidien chez mes clients. Même en leur absence, j'accède à toutes les données de l'entreprise (ce qui est pratique pour mes maintenances) mais je leur répète (et re-répète, et re-re-répète) de les changer mais autant prêcher dans le désert. Ils croient toujours que "cela n'arrive qu'aux autres". Et puis boum ... Enfin, on ne peut pas faire boire un âne qui n'a pas soif.