Fuite de mots de passe : action de groupe contre LinkedIn

Le par  |  5 commentaire(s)
LinkedIn Logo

Aux États-Unis, le réseau social professionnel LinkedIn doit faire face à une action collective intentée à son encontre pour ne pas avoir correctement protégé les données d'utilisateurs qui ont fuité.

LinkedIn n'est décidément pas à la fête. Après l'affaire médiatisée de la fuite de hashes de mots de passe, l'image du réseau social professionnel en a pris un petit coup. Une affaire qui pourrait prendre une tournure judiciaire.

C'est l'objet d'une action de groupe intentée aux États-Unis. À l'origine de cette action, une habitante de l'Illinois qui reproche à LinkedIn de ne pas avoir respecté des standards de sécurité pour protéger efficacement ses données.

Début juin, des utilisateurs ont appris que quelque 6,5 millions de mots de passe LinkedIn avaient été publiés sur un forum russe. Pour la plaignante, LinkedIn a eu recours à des méthodes de chiffrement insuffisantes pour sécuriser les données des utilisateurs, ce qui a permis aux attaquants de déchiffrer facilement une grande quantité des mots de passe.

LinkedIn Logo C'est en fait un reproche que plusieurs experts en sécurité ont formulé. Les données qui ont fuité étaient notamment des hashes de mots de passe ( pas en clair donc ) via SHA-1. Mais pas de salage qui consiste à insérer des caractères aléatoires dans le mot de passe haché pour offrir une protection supplémentaire contre les attaques de type dictionnaire.

La plainte, qui fait également référence à une attaque par injection SQL, demande des dommages-intérêts dont le montant dépasse 5 millions de dollars.

Depuis cette mésaventure, LinkedIn a indiqué que le salage est appliqué. Par ailleurs, une porte-parole a déclaré à Computerworld " qu'aucun compte n'a été compromis à la suite de l'incident, et nous n'avons aucune raison de croire que des membres de LinkedIn ont été lésés ". Et de pointer du doigt des avocats qui tentent de profiter de la situation.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
patheticcockroach Hors ligne VIP 7663 points
Le #975341
M'est avis que le salage aurait sans doute pas changé grand chose, ces gens là n'avaient qu'à prendre des mots de passe un peu plus compliqués... et ne pas les utiliser sur plusieurs sites à la fois (bref, eux aussi n'ont pas respecté les "standards de sécurité")
Le #975371
patheticcockroach a écrit :

M'est avis que le salage aurait sans doute pas changé grand chose, ces gens là n'avaient qu'à prendre des mots de passe un peu plus compliqués... et ne pas les utiliser sur plusieurs sites à la fois (bref, eux aussi n'ont pas respecté les "standards de sécurité")


C'est vrai cela : on se demande aussi pourquoi les gens ont besoin d'aller sur Internet ?
Ils ne sont pas raisonnable.
On ne devrait aller sur le web qu'en reprogrammant toutes les couches de A à Z et en encryptant tout. Bien sur on devrait aussi utiliser un VPN en permanence et un brouilleur de micros chez soi.

Moi meme je met un bas sur ma tete deavnt mon ordinateur et des preservatifs au bout des doigts : on n'est jamais trop prudent


patheticcockroach Hors ligne VIP 7663 points
Le #975401
@chambolle : ce que je veux dire, c'est que c'est hypocrite (ou typiquement américain) de faire un procès à un tiers pour quelque chose qu'on fait soit-même...
Et si tu trouves que les mesures DE BASE que j'ai citées sont trop extrêmes, j'espère au moins que tu as la cohérence de trouver normal que les hashes ne soient pas salés. Au passage, un mot de passe pourri, salé ou pas salé ça change pas grand chose.
Le #975421
LinkedIn n'a qu'à faire comme µsoft : dans les conditions d'utilisation, si le client veut utiliser le service il s'engage à ne jamais poursuivre LinkedIn en action de groupe.

db
Le #975541
patheticcockroach a écrit :

M'est avis que le salage aurait sans doute pas changé grand chose, ces gens là n'avaient qu'à prendre des mots de passe un peu plus compliqués... et ne pas les utiliser sur plusieurs sites à la fois (bref, eux aussi n'ont pas respecté les "standards de sécurité")


Effectivement, on a beau être sur un site méga-sécurisé avec un OS méga-sécurisé, le système "brute force" (ou simplement un peu de logique) passera toutes les barrières si les mots de passe sont faibles, voir très faibles (la majorité des cas). Les utilisateurs lambda ne veulent pas avoir 36 mots de passe à retenir ou à consulter et ils gardent le même dans 90 % des cas. Je le vis au quotidien chez mes clients. Même en leur absence, j'accède à toutes les données de l'entreprise (ce qui est pratique pour mes maintenances) mais je leur répète (et re-répète, et re-re-répète) de les changer mais autant prêcher dans le désert. Ils croient toujours que "cela n'arrive qu'aux autres". Et puis boum ... Enfin, on ne peut pas faire boire un âne qui n'a pas soif.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]