PIRATAGE - Les serveurs du réseau professionnel LinkedIn ont bel et bien été piratés. Après avoir mené une enquête, la firme américaine a confirmé mercredi 6 mai au soir le vol de mots de passe. Au total, ce sont près de 6,4 millions de comptes qui seraient concernés. S'ils ont été publiés sur un site russe de hackers, ils ne sont pas tous lisibles par les hackers. L'entreprise n'a pas communiqué sur le nombre exact de mots de passe effectivement compromis. Pour ceux-là, la société a vérouillé les comptes et indiqué à leur détenteurs la marche à suivre pour réinitialiser les clés.
LinkedIn a par ailleurs annoncé sa coopération avec le FBI. Une enquête a été ouverte mais le bureau d'investigation américain ne s'est pas encore exprimé à ce sujet. Le porte-parole de LinkedIn a cependant précisé qu'à ce stade de l'enquête, l'entreprise ne savait pas encore si les adresses e-mails associées aux mots de passe avaient également été piratées.
Rassurer les utilisateurs
LinkedIn a tout de même tenu à rassurer ses utilisateurs. Sur son blog, le réseau social a publié une série de billets les informant de la situation. Donnant des conseils aux membres du réseau pour améliorer la sécurité d'un mot de passe, elle a notamment spécifié qu'elle renforçait ses méthodes de chiffrages :
Nous travaillons activement avec les forces de l'ordre, qui enquêtent sur cette affaire. Notre base de données actuelle de production de mots de passe de compte est salée ainsi que hachée [méthodes chiffrage des mots de passe, ndlr], ce qui fournit une couche supplémentaire de sécurité. Nous travaillons dur pour vous protéger, mais il y a aussi des mesures que vous pouvez prendre pour vous protéger, telles que:
- Assurez-vous de mettre à jour votre mot de passe sur LinkedIn (et n'importe quel site que vous visitez sur le Web) au moins une fois tous les trois mois.
- Ne pas utiliser le même mot de passe pour plusieurs sites ou comptes.
- Créer un mot de passe fort pour votre compte, c'est-à-dire qui comprend des lettres, des chiffres et des caractères spéciaux.
- Méfiez-vous des courriels d'hameçonnage et les courriels de spam demandant des informations personnelles ou sensibles.
- Nos efforts pour protéger les membres de LinkedIn touchés par cet incident sont en cours et nous continuerons à vous tenir au courant ici.
Problèmes en cascade
Mais le problème ne s'arrête pas à la subtilisation des mots de passe. Les webcriminels ont calqué la méthode de notification de LinkedIn à ses utilisateurs pour les informer du vol de mots de passe. Les pirates envoient donc de faux mails de sécurité afin de récolter de nouvelles données. Pour palier le problème, LinkedIn a indiqué sur son blog que les mails envoyés par l'entreprise ne contenaient pas de liens cliquables.
Ces derniers jours, deux autres sites semblent avoir subi des attaques. eHarmony ainsi que Last.fm ont indiqué sur leurs blogs officiels respectifs qu'ils avaient peut-être été piratés. Les deux entreprises ont donc convié leurs utilisateurs à changer de mots de passe. Si les trois sites concernés utilisent tous le même logiciel pour gérer leur activité sur le web, aucun lien n'a encore été établi entre les trois cas.