LinkedIn n'est décidément pas à la fête. Après l'affaire médiatisée de la fuite de hashes de mots de passe, l'image du réseau social professionnel en a pris un petit coup. Une affaire qui pourrait prendre une tournure judiciaire.
C'est l'objet d'une action de groupe intentée aux États-Unis. À l'origine de cette action, une habitante de l'Illinois qui reproche à LinkedIn de ne pas avoir respecté des standards de sécurité pour protéger efficacement ses données.
Début juin, des utilisateurs ont appris que quelque 6,5 millions de mots de passe LinkedIn avaient été publiés sur un forum russe. Pour la plaignante, LinkedIn a eu recours à des méthodes de chiffrement insuffisantes pour sécuriser les données des utilisateurs, ce qui a permis aux attaquants de déchiffrer facilement une grande quantité des mots de passe.
C'est en fait un reproche que plusieurs experts en sécurité ont formulé. Les données qui ont fuité étaient notamment des hashes de mots de passe ( pas en clair donc ) via SHA-1. Mais pas de salage qui consiste à insérer des caractères aléatoires dans le mot de passe haché pour offrir une protection supplémentaire contre les attaques de type dictionnaire.
La plainte, qui fait également référence à une attaque par injection SQL, demande des dommages-intérêts dont le montant dépasse 5 millions de dollars.
Depuis cette mésaventure, LinkedIn a indiqué que le salage est appliqué. Par ailleurs, une porte-parole a déclaré à Computerworld " qu'aucun compte n'a été compromis à la suite de l'incident, et nous n'avons aucune raison de croire que des membres de LinkedIn ont été lésés ". Et de pointer du doigt des avocats qui tentent de profiter de la situation.