LinkedIn confirme la fuite des mots de passe et bloque des comptes
Changement de mot de passe obligatoire pour les concernés
Hier, nous indiquions que LinkedIn avait été victime d’une fuite d’au moins 6,5 millions de mots de passe. L'éditeur ne confirmait rien alors que des recherches, notamment par Sophos, tentaient d'établir l’authenticité de ces comptes. Quelques heures plus tard, LinkedIn invitait ses utilisateurs à changer leur mot de passe. Depuis, il est passé à la vitesse supérieure.
Hier soir, vers 21h30, LinkedIn a publié un nouveau billet sur son blog officiel. Jusqu’à ce moment, l’entreprise ne parlait que de brèche et d’enquête en cours. Cette fois, elle reconnaît officiellement que les mots de passe qui ont fuité sont parfaitement authentiques, du moins pour une partie d’entre eux.
Conséquence : plutôt que de simplement recommander que les utilisateurs changent leurs mots de passe, LinkedIn a bloqué l’accès aux comptes touchés par la fuite. Si vous vous connectez mais que le site vous renvoie une erreur, vous êtes concernés par la fuite de données. Dans ce cas, vérifiez vos courriers électroniques car un email de LinkedIn vous attend avec la marche à suivre.
Une fois le mot de passe modifié, l’utilisateur pourra de nouveau entrer sur son compte, sans autre modification particulière. Il recevra par contre un deuxième courrier pour lui donner d’autres détails sur le contexte entourant cette procédure. En outre, LinkedIn indiquera clairement qu’une fuite d’informations a eu lieu et qu’un changement de mot de passe était donc obligatoire.
Puisque l’on parle de mot de passe, le billet précédent de LinkedIn est intéressant. La société n’avait pas encore confirmé la fuite mais enjoignait ses utilisateurs à modifier volontairement leurs mots de passe. Elle donnait par ailleurs quelques conseils :
New Post: Further Update on LinkedIn Member Passwords Compromised. blog.linkedin.com/2012/06/06/lin…
— LinkedIn News (@LinkedInNews) Juin 6, 2012 Hier soir, vers 21h30, LinkedIn a publié un nouveau billet sur son blog officiel. Jusqu’à ce moment, l’entreprise ne parlait que de brèche et d’enquête en cours. Cette fois, elle reconnaît officiellement que les mots de passe qui ont fuité sont parfaitement authentiques, du moins pour une partie d’entre eux.
Conséquence : plutôt que de simplement recommander que les utilisateurs changent leurs mots de passe, LinkedIn a bloqué l’accès aux comptes touchés par la fuite. Si vous vous connectez mais que le site vous renvoie une erreur, vous êtes concernés par la fuite de données. Dans ce cas, vérifiez vos courriers électroniques car un email de LinkedIn vous attend avec la marche à suivre.
Une fois le mot de passe modifié, l’utilisateur pourra de nouveau entrer sur son compte, sans autre modification particulière. Il recevra par contre un deuxième courrier pour lui donner d’autres détails sur le contexte entourant cette procédure. En outre, LinkedIn indiquera clairement qu’une fuite d’informations a eu lieu et qu’un changement de mot de passe était donc obligatoire.
Puisque l’on parle de mot de passe, le billet précédent de LinkedIn est intéressant. La société n’avait pas encore confirmé la fuite mais enjoignait ses utilisateurs à modifier volontairement leurs mots de passe. Elle donnait par ailleurs quelques conseils :
- Ne pas utiliser le même mot de passe que sur d’autres sites
- Ne pas utiliser un mot du dictionnaire
- Penser à une phrase ayant un sens particulier, une chanson ou une citation et en faire un mot de passe complexe avec la première lettre de chaque mot
- Ajouter de manière aléatoire des majuscules, de la ponctuation et des symboles
- Remplacer certaines lettres par des chiffres à l’apparence proche, comme le « 3 » pour le « E », le « 0 » pour le « O » ou encore le « 4 » pour le « A »
- Ne jamais donner son mot de passe à un tiers
- Ne jamais écrire son mot de passe sur un support quelconque
Source :
LinkedIn
Vincent Hermann
Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.
Le 7 juin 2012 à 10:09
(11 428
lectures)
Il y a 28 commentaires
INpactien
Parce qu'ils stockent les mots de passe en clair ?
INpactien
Non, en SHA1.
Mais bon, Rainbow tables, brute force, tout ça quoi.
Mais bon, Rainbow tables, brute force, tout ça quoi.
INpactien
Parce qu'ils stockent les mots de passe en clair ?
Encore que :
It is worth noting that the affected members who update their passwords and members whose passwords have not been compromised benefit from the enhanced security we just recently put in place, which includes hashing and salting of our current password databases.
Edité par papinse le jeudi 7 juin 2012 à 10:30
INpactien
Linkedin. J'utilise un alias pour chaque site où je m'inscris, je reçois tellements de pubs sur cette adresse que j'ai préféré la supprimer. Au moins 10 pubs par jour... --'
INpactien
Ne pas utiliser le même mot de passe que sur d’autres sites
Ils sont gentils, un mot de passe par site, bonjour la galère !
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
Il y a 28 commentaires
-
Bing Translator parle Klingon
(13)
HIjol -
Les jeux sur Google+, c'est fini
(46)
Facebook m'a tuer -
Nouveau Google Maps : demandez votre invitation
(12)
Moi, moi, moi !!! -
Google I/O 2013 : suivez la keynote en direct, de 18h à 21h
(20)
Nous, on a déjà prévu l'apéro cahuètes
-
40 % de remise pour l'achat de cinq DVD
Valable jusqu'au 25 août -
Deux adaptateurs CPL Netgear XAV1301 à 200 Mb/s : 19,90 €
Valable jusqu'au 24 mai -
7 % de remise sur les SSD
Valable pendant 9 heures -
Adhérents Fnac : tous les 100 € d'achat, 15 € en chèque-cadeau
Valable jusqu'au 23 mai
