Archive for juin, 2012

Piratage de mots de passe linkedin : ce qu’il (ne) faut (pas) faire

mercredi, juin 6th, 2012

Avant tout, bref rappel de ce que l’on sait. Environ 6,5 millions de mots de passe (hashés) de linkedin ont été copiés. A priori il ne s’agit que des mots de passe, pas des comptes associés, ils ne peuvent donc pas être utilisés tel quel par une personne malveillante pour se connecter à des comptes mais plutôt faciliter une attaque de type « brute force » avec un dictionnaire amélioré.

Si cette second partie s’avère vraie, il ne faut surtout pas paniquer. Il est peu probable que votre compte soit visé et si il l’est j’imagine que linkedin a des protections anti brute force donc cela prendra du temps, beaucoup de temps.

Dans tous les cas, voici quelques commentaires sur la marche à suivre, qui n’est pas (uniquement) comme tout le monde le dit « changez votre mot de passe linkedin ». En effet, si vous le changez de suite, il est probable que la même attaque pourrait servir à récupérer le fichier de mots de passe changés. Ensuite peu d’utilisateurs le rechangeront (disons dans 5 jours) une fois que la faille sera colmatée…

A mon avis, le plus sain est donc :

– de changer tous les mots de passe d’autres sites que vous utilisez, en particulier si le mot de passe est le même que celui utilisé sur linkedin. De préférence, utilisez un mot de passe différent sur chaque. La simple addition, au milieu du mot de passe, d’un nombre à 2 ou 3 chiffres (aléatoire ou séquentiel, cela a peu d’importance) est une protection suffisante dans 99% des cas

– de déautoriser toutes les application tierces qui peuvent utiliser votre compte linkedin jusqu’à confirmation du colmatage de la faille, cela se passe ici

– de changer l’adresse mail principale associée à votre compte linkedin, de préférence pour une adresse utilisée nulle part ailleurs (utiliser par exemple une adresse jetable) ainsi que le mot de passe du compte

– réitérer cette dernière étape dans 5 à 10 jours (ou après confirmation du colmatage de la faille) et réautoriser les application tierces

En espérant avoir répondu aux craintes et encore une fois, ne paniquez pas, il ne va probablement rien vous arriver.

EDIT : et pour tout besoin de conseil en sécurité, en hébergement ou autre… n’hésitez pas : http://shrd.fr/

UPDATE : pour vérifier si votre mot de passe fait partie de la liste des mots de passe qui ont fuité… http://www.leakedin.org/ (le site a l’air fiable mais à utiliser à vos risques et périls)