Passer au contenu

Plus de 6 millions de mots de passe LinkedIn dans la nature !

Le site spécialiste de la sécurité informatique Zataz indique que 6.5 millions d’identifiants du réseau social professionnel ont été piratés. Il est vivement conseillé de changer son mot de passe LinkedIn.

J’ai habitude de suivre l’actualité en matière de sécurité informatique sur le site Zataz. Ce dernier vient d’ailleurs de publier une actualité concernant LinkedIn.

D’après cette source, ce ne sont pas moins de 6.5 millions d’identifiants du réseau social professionnel LinkedIn qui ont été piratés ! Manifestement, c’est un pirate russe qui aurait mis la main sur le liste de pseudos et mots de passe. Ces mots de passe n’apparaissent pas en clair, ils sont hachés avec l’algorithme SHA-1.

Zataz indique que 237 000 mots de passe ont d’ores et déjà été crackés ce mercredi matin, cela veut dire que potentiellement autant de comptes peuvent être piratés. De son côté, LinkedIn recherche en ce moment même les mots de passe volés dans les rapports.

Je conseille à tous les utilisateurs du réseau social professionnel de changer immédiatement leur mot de passe pour éviter de se faire pirater leur compte. Si possible, choisir un mot de passe long et complexe (avec des chiffres, lettres, majuscules et caractères spéciaux) et unique (ne pas utiliser le même mot de passe sur Twitter, Facebook…).

(source)

📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.

Opera One - Navigateur web boosté à l’IA
Opera One - Navigateur web boosté à l’IA
Par : Opera
14 commentaires
14 commentaires
  1. Une “astuce” que j’utilise pour avoir des mots de passe uniques est de concaténer une variable du site consulté à mon mot de passe. Par exemple dans mon cas je prends les trois premières lettres du nom de domaine.

    Ainsi mon mot de passe Google sera : goovoiture45,
    Twitter : twivoiture45, facebook : facvoiture45 et presse-citron prevoiture45

    C’est une convention que je vous recommande d’utiliser.

    Pour infos je prends toujours le nom de domaine principal (donc pas les sous domaines) comme référence et n’inclus jamais les caractères spéciaux car certains sites ne le permettent pas.

  2. En matière de mot de passe, la recommandation de mélanger chiffres, lettres, majuscules et caractères spéciaux n’est pas très logique. Ce qui importe, c’est la longueur (en plus du fait de ne pas prendre un mot ou une combinaison de mots connus).

    Ainsi, “dgfretukk” est plus efficace et plus difficile à cracker que “6!sdFh”. C’est mathématique.

    De plus, dans le premier cas, on peut imaginer un mot de passe de type “acrostiche” (chaque lettre est la première lettre d’un mot dont la succession forme une phrase logique – seulement pour qui la connaît), ce qui facilite nettement la mémorisation.

    Je pense que c’est sur ce site même qu’un rédacteur invité à fait un bel article là-dessus, tenant en compte l’obligation parfois rencontrée d’avoir au moins un chiffre dans le mot de passe choisi.

    Il était une fois dans l’ouest : ie1fdlo.

    Bon, je vais de ce pas changer mon mot de passe LinkedIn 🙂

  3. @Kaa le mélange des caractères reste une bonne recommandation. Perso, si je devais écrire un script de brute force pour cracker un md5, par soucis d’efficacité, je n’utiliserais que les minuscules et le chiffres, car la toute grande majorité des mots de passe ne contiennent que ces caractères. Du coup 6!sdFh est bien plus sécurisé que acrostiche…

  4. @Max : effectivement, c’est une très bonne idée.

    @Kaa : tu as raison sur la longueur du mot de passe, c’est important et j’ai oublié de le préciser (c’est corrigé). J’avais lu qu’il était recommandé de combiner des chiffres, lettres, majuscules et caractères spéciaux pour avoir un mot de passe complexe. Après c’est clair qu’il est impossible de retenir ce genre de mot de passe, il faut utiliser un logiciel ou service pour s’en souvenir… J’aime bien le mot de passe basé sur une phrase logique.

    @Jejem : c’est difficile à dire pour le moment. Zataz est connu pour être assez fiable et l’information a été reprise par les médias américains et français. LinkedIn continue son travail d’investigation, on verra bien ce que ça va donner.

  5. @Max : au premier abord je me suis dit que c’était une très bonne idée d’ajouter le début du site pour différencier les mots de passe … mais, finalement, est-ce vraiment utile ?
    Si un hacker trouve (keylogger, hack de la base) ton password en clair “goomax00001” sur google.com, il y a quand même des chances qu’il se rendre compte que le goo du début est pour google, donc qu’il trouve aussi twimax00001, etc.
    Peut-être pas si c’est un hacker qui hacke des milliers de comptes en batch et essaye tel quel le password décrypté ailleurs, par contre qq’un qui veut vraiment hacker ton compte spécifiquement risque de repérer la manip.

    Au passage moi c’est mon compte Twitter – que je n’utilise pas – qui a été hacké plusieurs fois (password resetté par Twitter qui doit détecter la publication d’un même tweet de manière répétée), à priori par une appli utilisant l’API twitter …

    Et je viens de changer mon pasword LinkedIn à tout hasard…

  6. Je viens aussi de changer mon mot de passe au cas où.
    Par contre plutôt que de faire un mot de passe avec seulement la première lettre de chaque mot d’une phrase il est aussi possible de mettre une phrase complète (avec ou sans espace).
    par exemple plutôt que ifbslsdjee c’est mieux d’avoir “il fait beau sous le soleil de jericho en ete”.
    si en plus vous mettez des chiffres et/ou des caractères spéciaux le mot de passe devient difficile à trouver.

  7. @SRG Non car chacun peut prendre une convention différente, par exemple utiliser les 2 dernières lettres du noms de domaine, ou bien la première plus la dernière.
    De plus la position de cette variable est libre aussi. Dans ton exemple “max00001” je pourrai par exemple décider de mettre la variable au milieu entre “max” et “00001”.

    Ainsi mon mot de passe facebook sera “maxfk00001” et presse-citron “maxpn00001”.

    Encore une fois c’est une technique que j’utilise et recommande (c’est la manière la moins contraignante que j’ai trouvé pour utiliser des passwords uniques pour chaque site, ce qui est absolument nécessaire).

  8. Camille: tu devrais peut-être *lire* zataz, au lieu de le dire…
    Changer le mdp, c’est une bonne idée, comme la faille n’est pas identifiée :top
    Le risque ce n’est pas vraiment de se faire pirater son linkedin, mais de récupérer un mot de passe associé à un login pour se logger sur TOUS LES AUTRES SERVICES, si vous utilisez le même identifiant/mdp.

    Aussi, pour ceux qui testent sur les sites de hash SHA1, faites attention (déconnectez-vous au moins du net), car pour le coup, on peut être sur que c’est une super opération phishing.
    Les hash ne peuvent pas être décodés (facilement), alors viendez remplir nos dicos de hash en donnant direct votre mdp et son hash 🙂

  9. Je trouve vraiment étrange qu’un site aussi populaire que linkedin n’utilise pas la technique du grain de sel… Facile à mettre en place et rend inutile les attaques par dictionnaire…

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *