Des hackers Russes se seraient emparés de 6,5 millions de mots de passe appartenant à des comptes des membres du réseau social LinkedIn, rapporte le site The Next Web.

Attention si vous utilisez le réseau social LinkedIn! Des hackers Russes auraient récemment subtilisé pas moins de 6,5 millions de mots de passe appartenant à des membres du réseau social professionnel. Actuellement, ces hackers s’attèleraient à décrypter les données et auraient déjà réussi à mettre la main sur 300.000 mots de passe utilisables!

Une journée qui ne doit pas être évidente pour le réseau social car son application iOS est soupçonnée de collecter les informations contenues dans le Calendrier de l’iPhone ou de l’iPad et de les transmettre à ses serveurs sans le consentement des utilisateurs.

En attendant, nous ne pouvons que vous conseiller de changer votre mot de passe LinkedIn!

Réagissez sur le forum.

1 COMMENTAIRE

    • Et tu le compare à quoi ?
      Comment peux tu savoir si le mot de passe est le bon ?

      Tu as besoin de le stocker, mais de manière cryptée.
      Le problème c’est si tu arrives à avoir l’algorithme de decryption.

      • Il faut le stocker salé et haché. Ça permet d’éviter les rainbows tables et de rendre (beaucoup) moins rentable la brute force.
        Si tu stockes le hash du mot de passe avec une fonction “non inversible” (SHA1 par exemple comme c’est fait chez linkedin si le fichier leaké vient bien de chez eux) il n’existe pas d'”algorithme de decryption” (déjà ce serait déchiffrement, mais ça n’existe pas plus) pour la simple et bonne raison qu’un hash est surjectif. Par exemple on pourrait avoir hash(motdepasse) = hash(toto) = 42, du coup si on sait que le hash est 42 on ne peut pas savoir si le mot de passe est “toto” ou “motdepasse” (par contre comme l’attaquant peut se connecter avec l’un ou l’autre il s’en fout, sauf si son but était de se connecter à un site utilisant un autre hash mais avec un utilisateur ayant le même mot de passe)

        Par contre stocker juste le hash est une erreur, tout comme stocker le hash du (mot de passe + chaine identique pour tous), car si l’attaquant récupère 3 millions de mot de passe (et la chaine identique pour tous, au pire il peut la recréer en bruteforçant son mot de passe personnel), il lui suffit de calculer tous les hash en commençant par “a”, “b”, …, “z”, “aa”, “ab”, … (en mettant chiffre, caractères spéciaux, ce qu’il veut) pour récupérer un mot de passe chaque fois qu’il en teste un utilisé (par exemple quand il arrive à “diet”, le suivant, “dieu”, c’est bon)

        C’est difficile de retrouver les 3 millions de mdp, mais on en trouve vite une bonne proportion.

        Par contre, si pour chaque utilisateur, le site génère une chaine au hasard, disons “abc” pour le premier user, “zyx” pour le second, … et qu’il stocke dans sa base user1|abc|hash(dieuabc) et user2|zyx|hash(dieuzyx) la bruteforce est moins, beaucoup moins, efficace. Car même s’il a “abc” et “zyx”, il devra calculer hash(aabc), hash(babc) … hash(zabc) jusque hash(dieuabc) s’il veut le mdp de user1, et ça ne lui apprend rien sur le mdp de user2

    • Linkedin, Facebook, la grosse arnaque totalement inutile. Le plus grand espionnage individuel du 21 ème siècle avec l’aval de tous les naïfs et naïves qui possèdent un compte et qui avancent tête baissée sans réaliser qu’on utilise, qu’on falsifie leur données. Un juste retour des choses.

    • Ce que vous dites est tellement débile que ça ne vaut même pas une réponse, que je vous donne quand-même: comment voulez-vous que le serveur vous authentifie s’il n’a pas votre login et mot de passe dans ses bases de données??? (pour mes collègues IT: je parle d’une authentification simple par login mdp, venez pas me bassiner avec des double clés ou des digipass) Par contre, c’est étonnant que le cryptage soit réversible. Mais il y a des très gros hackers en Russie

      • le cryptage n’est pas réversible en soit, il faut procéder par un bruteforce, une attaque par dictionnaire. Dans ce cas-ci les mots de passe sont encodé SHA1 (rien de nouveau) mais surtout il sont non-salé (grosso-modo lors du cryptage on mixe le mot-de-passe avec un autre mot-de-passe) ! Dans ce cas, les hackers cassent probablement les mots-de-passe à l’aide de table arc-en-cielle: c’est une énorme base de données de mot-de-passe déjà crypté en SHA1 (ou autre) ainsi que le mdp en clair ce qui permet de gagné un temps *considérable* puisqu’on a pas à appliquer la routine de cryptage avant de tester chaque mdp … Le simple fait d’avoir salé les mdp aurait rendu la tache de cracking beaucoup plus longue … Et sur ce coup LinkedIn a vraiment foiré.

        le site http://leakedin.org/ permet de vérifier si un mot de passe donné se trouve dans l’ensemble des mdp cracké. Le site utilise javascript pour crypter votre mdp en SHA1 et l’envoie au serveur pour vérification.

    • Bonjour, si le mot de passe n’est pas stocké comment s’assurer que vous êtes bien la personne que vous prétendez être ?

      • Avec des maths. Le site ne doit pas stocker le mot de passe, mais bien le hash du mot de passe concaténé à une chaine aléatoire (sel) pour chaque user. Le site garde le triplet (nom, sel, hash) pour chaque utilisateur, et quand vous dites “salut, c’est moi, olivier, mmot de passe: hunter2” il regarde à olivier, récupère le sel (disons que c’est NaCl pour toi) et calcule hash(hunter2NaCl) et le compare au hash stocké. Si c’est le même, vous êtes identifiés, sinon vous êtes rejetés.

        D’une façon générale, si un site peut vous renvoyez votre mot de passe, fuyez, ou plutôt n’utilisez pas le même qu’ailleurs (et si c’est quelque chose d’important, essayez de trouver un autre fournisseur). S’il ne peut que vous permettre de le réinitialiser, peut-être que c’est sécurisé, peut-être pas. (ici les mdp sont hashé, mais non salés, c’est une erreur grave pour un site ayant des millions d’utilisateurs, en 2012. Cette méthode est connue depuis 40 ans, quand même…)

  1. Les mot de passe n’étaient pas stocké. Ce sont des Sha1 sans sel qui on été volé. Malheureusement avec de la force brute ou une attaque dictionnaire, il est possible de retrouver les mot de passe ou du moins des collision dans les hash

  2. Effectivement, dans un système d’authentification décemment sécurisé les mots de passe ne sont pas stockés en clair, mais seul un hash (non réversible) est stocké. Au moment du login, il suffit de comparer les hash. Le problème c’est que si un hacker parvient à s’emparer de la base de données des hash, il peut commencer une attaque par force brute massive, et cela parviendra certainement à casser une très grande majorité des mots de passe.

  3. Avec un cryptage sérieux, il leur faudrait quand même un peu de temps avant d’y arriver. Ou plein de grosses bécanes dédiées.

  4. Comme l’explique Phil, c’est un SHA1. Le mot de passe n’est pas stocké en clair, ni encrypté, il est “hashé”. On ne sait pas retrouver la version initiale du pwd en claquant des doigts. Lors de l’authentification, le serveur Web reçoit le pwd de l’utilisateur, le passe dans la fonction de hashing (ici sha1), et compare le résultat avec le hash stocké dans la base de données.

    • Oui mais hasher ne suffit pas. Il faut saler puis hasher. Sinon on peut bruteforcer tous les utilisateurs à la fois (contre un à la fois si le mdp est salé)

      Puis tant qu’à faire, utiliser bcrypt qui est conçu pour être lent, ça ralentira d’autant le brute forceur

    • Le salting est primordial pour plus de sécurité et j’ai fait encore pire… Jérôme, le SHA-1 est chiffré vu qu’il s’agit d’un hashage cryptographique. Par contre, pour faire une table de hash pas besoin de chiffrer.

  5. La plupart des gens utilise des mdp simple (mot usuel, prénom, etc) souvent très court. La plupart des méthode de crackage brute utilise des dictionnaires, et donc retrouve très rapidement les mdp. Bref pour éviter ça choisissez un mdp qui n’est pas dans le dico, fait minimum 7 caractère et contient entre autre chiffre et caractère spéciaux

  6. […] Après LinkedIn, c’est désormais au tour de Last.fm de faire les frais d’un niveau de sécurité pas assez élevé. Le site a annoncé ce matin avoir connu une “faille de sécurité” qui aurait compromis un certain nombre de comptes. Les utilisateurs de Last.fm pourraient devenir les victimes de phishing d’ici quelques semaines… […]

Comments are closed.