Drôle de semaine pour les mots de passe. Le réseau social professionnel LinkedIn a d'abord confirmé le vol de " certains " mots de passe. Puis, c'est le site de rencontre eHarmony qui lui a emboîté le pas.
Dans les deux cas, les mots de passe ont été exposés sous la forme de hashes et donc pas en clair. De l'ordre de 6,5 millions de hashes pour LinkedIn et 1,5 million pour eHarmony. À chaque fois, ces hashes ont été mis en ligne sur des sites afin que des pirates informatiques joignent leurs forces pour les casser.
Les utilisateurs concernés ont été prévenus pour la réinitialisation de leurs mots de passe. Si eHarmony n'a pas donné beaucoup de détails, LinkedIn a été un peu plus bavard et a notamment annoncé un renforcement de ses mesures de sécurité via le salage des hashes ( voir notre actualité ). Compte tenu des données sensibles liées à un réseau social comme LinkedIn, beaucoup d'experts en sécurité s'étonnent de l'absence au préalable de ce salage.
Dernière péripétie ( avant peut-être d'autres ), c'est le site de streaming musical Last.fm qui a diffusé une alerte pour demander à ses utilisateurs de modifier leur mot de passe sans tarder. Last.fm ne précise pas le nombre de mots de passe qui ont fuité, mais par mesure de précaution s'adresse à tous ses utilisateurs. Pour aider au choix d'un mot de passe robuste, Last.fm renvoie vers quelques conseils de Google.
Il n'est pas établi qu'un lien existe entre ces trois vols de mots de passe. LinkedIn s'est rapproché du FBI pour faire la lumière sur cette affaire. De même, eHarmony a précisé collaborer avec les autorités dans le cadre de ses investigations et être en contact avec une autre des sociétés touchées.