Le 6 juin 2012, LinkedIn avait annoncé la compromission de mots de passe d'utilisateurs. Un aveu après la publication sur un forum russe de près de 6,5 millions de hashes de mots de passe (SHA-1). À l'époque, le réseau social professionnel comptait aux alentours de 150 millions d'utilisateurs contre le double désormais.
Des experts en sécurité informatique avait ainsi reproché à LinkedIn de ne pas avoir procédé à du salage. Cette opération consiste à insérer des caractères aléatoires dans le mot de passe haché afin d'offrir une protection supplémentaire contre les attaques de type dictionnaire.
Si LinkedIn a ensuite rehaussé ses mesures de sécurité, cela ne lui a pas évité une action en recours collectif aux États-Unis. Une plainte qui faisait également allusion à une attaque par injection SQL à laquelle LinkedIn n'avait pu faire face.
Cette action en justice se solde aujourd'hui par un accord amiable. Il concerne les individus et entités aux États-Unis qui avaient payé un abonnement premium entre le 15 mars 2006 et le 7 juin 2012.
Via un fond d'indemnisation de 1,25 million de dollars au total, LinkedIn va dédommager ceux qui se manifestent avant le 2 mai prochain. En fonction des cas, ils pourront prétendre à jusqu'à 50 dollars par utilisateur.
Selon le blog Bits du New York Times, quelque 800 000 Américains seraient éligibles à cet accord. Mais après les honoraires pour les avocats des plaignants, ils n'auraient plus qu'un seul dollar en poche. Tout dépendra si tous réclament leur dédommagement, ce qui ne sera sans doute pas le cas.
