LinkedIn poursuit ses investigations mais confirme bien que certains mots de passe d'utilisateurs ont été compromis. Cette confirmation fait suite à la publication sur un forum russe de près de 6,5 millions de hashes de mots de passe ( chiffrement SHA-1 ). Ces derniers ont été publiés sans les adresses emails associées.
Via cette publication, l'auteur cherche à obtenir de l'aide pour parvenir à un décryptage. Hier, certains rapports faisaient état du décryptage de plus de 300 000 mots de passe. Le réseau social professionnel qui compte plus de 150 millions de membres n'a pas donné d'indication quant à l'étendue de la fuite. " Nous pouvons confirmé que certains mots de passe qui ont été compromis correspondent à des comptes LinkedIn ".
LinkedIn prévient ses membres dont un compte est associé avec un mot de passe compromis que celui-ci n'est plus valide. Ils sont également alertés par email avec des instructions à suivre pour réinitialiser leur mot de passe. Attention toutefois, ce climat est forcément propice au phishing.
Pour les membres concernés qui mettent à jour leur mot de passe et pour ceux dont le mot de passe n'a pas été compromis, LinkedIn indique un rehaussement de la sécurité avec le hachage et le salage des bases de données. Ce salage n'est appliqué que depuis peu. Il consiste à insérer des caractères aléatoires dans le mot de passe haché et offre ainsi une protection supplémentaire contre les attaques de type dictionnaire.
Dans une série de recommandations sur les mots de passe, LinkedIn met en avant de bonnes pratiques comme ne pas utiliser un même mot de passe pour plusieurs sites, ne pas choisir un mot du dictionnaire, miser sur la complexité avec plus de dix caractères alliant lettres majuscules, signes de ponctuation ou symboles...
À voir prochainement si cette péripétie sera dommageable pour LinkedIn.
