Vous êtes un utilisateur de LinkedIn ? Il pourrait potentiellement y avoir de mauvaises nouvelles vous concernant. En effet, une tonne de détails de certains comptes du réseau social LinkedIn ont simplement été mis en vente, même si ces derniers font suite à une brèche de sécurité qui a eu lieu il y a des années.
Vous vous souvenez peut-être de la brèche aperçue en 2012 sur le réseau social professionnel ? Apparemment, celle-ci a entraîné la violation de 6,5 millions de mots de passe. Mais, il semble que la gravité réelle de cet incident soit seulement maintenant ! Motherboard aurait parlé au hacker qui a publié les détails des comptes vendus en ligne, et l’individu connu sous le nom « Peace » prétend qu’il n’y a pas moins de 167 millions de comptes concernés, bien que 117 millions d’entre eux ont à la fois des e-mails et des mots de passe hachés.
Cela reste des chiffres extrêmement inquiétants, et sans surprise LinkedIn a déjà répondu à ces nouvelles avec un article sur son blog. LinkedIn a mentionné être au courant qu’un nouvel ensemble de données vient d’être publié, prétendant être un lot de détails de plus de 100 millions de comptes. Et, le réseau social prend cela très au sérieux, en indiquant qu’elle a introduit « des mesures immédiates pour invalider les mots de passe des comptes touchés ».
Réinitialiser votre mot de passe
Ces propriétaires sont contactés par LinkedIn pour réinitialiser leurs mots de passe, donc si vous avez été touché, vous avez probablement reçu un mail, ou allez très probablement le recevoir. Personnellement, je suis dans le lot :(.
Par mesure de sécurité, LinkedIn recommande de réinitialiser votre mot de passe lors de votre prochaine connexion. Voilà comment procéder :
- Accédez au site web LinkedIn.
- Cliquez sur « Mot de passe oublié ? » à côté du champ de mot de passe et entrez votre adresse e-mail.
- Vous recevrez un e-mail de LinkedIn avec un lien sur lequel cliquer pour ré-initialiser votre mot de passe.
- Une fois le mot de passe ré-initialisé, un e-mail de confirmation sera envoyé à l’adresse e-mail indiquée sur votre compte.
Une histoire qui remonte à 2012…
LinkedIn a également noté qu’en 2012, au moment de l’infraction, sa réponse comprenait une réinitialisation obligatoire du mot de passe pour les comptes censés être compromis, mais celui-ci était beaucoup plus petit que le chiffre de la fuite. Étrange donc !
Lorsque cet incident est arrivé il y a quatre ans, LinkedIn n’avait pas « salé » les hachs des mots de passe avant de les stocker sur des serveurs, ce qui signifie bien que les mots de passe obtenus ont été cryptés, le cryptage n’a pas été aussi performant qu’il aurait dû l’être. Cela a entraîné un recours collectif déposé contre le site social. Alors que cela n’a pas été sans douleur pour LinkedIn, il semblerait que cette histoire ne soit pas finie.
Sur son blog, LinkedIn nous rappelle que désormais les mots de passe sont hachés et salés, et insiste également pour que les membres fassent usage de l’authentification à deux facteurs dont le site prend en charge, empêchant ainsi un hacker d’accéder à un compte, même s’il parvient à connaître votre mot de passe.
