Un hacker vend les e-mails et les passwords de 117 millions de comptes LinkedIn

Un hacker tente actuellement de vendre les informations personnelles de 117 millions d'utilisateurs de LinkedIn, y compris leurs adresses e-mail et leurs mots de passe.

Le hacker, qui se fait appeler « Peace », a expliqué à Motherboard que les données avaient été volées lors de la faille qui avait frappé LinkedIn en 2012. À l'époque, seuls 6,5 millions de mots de passe protégés avaient été postés sur Internet, et LinkedIn n'a jamais vraiment précisé combien d'utilisateurs avaient été concernés par l'incident.

Et visiblement, ce nombre est bien plus élevé qu'on ne le pensait.

Peace vend les données sur le dark web, sur une plateforme baptisée The Real Deal, pour 5 bitcoins (environ 2000€). Le moteur de recherche de données piratées LeakedSource affirme détenir également ces données. Peace et l'un des membres de LeakedSource assurent tous deux que la base de données contient 167 millions de comptes au total. Parmi eux, 117 millions sont fournis avec l'adresse e-mail et le mot de passe chiffré.

« Cela ne fait surface que maintenant. Les gens n'ont sans doute pas pris cette affaire très au sérieux à l'époque car peu de choses ont été diffusées, m'a déclaré une source au sein de LeakedSource. À ma connaissance, la base de données n'a circulé qu'entre les mains de quelques Russes. »

LeakedSource nous a fourni un échantillon contenant environ un million de références, incluant des adresses e-mail, des mots de passe cryptés, et leurs équivalents déchiffrés. Les mots de passe en question avaient été à l'origine cryptés grâce à l'algorithme SHA1.

L'un des membres de LeakedSource a affirmé à Motherboard qu'à l'heure actuelle, ils avaient déchiffré « 90% des mots de passe en 72 heures. »

Troy Hunt, un expert en sécurité qui tient le site spécialisé « Have I Been Pwned ? », a contacté des victimes de la faille. Deux d'entre elles lui ont confirmé qu'elles étaient effectivement des utilisateurs de LinkedIn et que les mots de passe qu'il avait récupérés étaient bien ceux qu'elles utilisaient à l'époque. Pour notre part, nous avons pu retrouver une troisième victime, qui confirme ces dires.

L'une de ces victimes nous a affirmé que l'un des mots de passe inclus dans l'échantillon fourni par LeakedSource était celui qu'elle utilise actuellement, même si elle l'a changé immédiatement après avoir été informée de la faille par Troy Hunt.

« Quand votre mot de passe est diffusé comme ça, c'est comme si quelqu'un pouvait s'introduire dans votre vie privée à n'importe quel moment, sans que vous le sachiez », m'a expliqué la victime, qui souhaite rester anonyme.

Contacté mardi, le porte-parole de LinkedIn Hani Durzy a déclaré à Motherboard que les équipes de cybersécurité de l'entreprise travaillaient actuellement sur cet incident, mais qu'elles ne pouvaient pas confirmer pour le moment que les données étaient bien réelles. Mais il a également admis que les 6,5 millions de comptes qui avaient été diffusé sur Internet en 2012 ne représentaient sans doute pas la totalité des mots de passe qui avaient été volés.

« On ignore quelle quantité de données a vraiment été volée », m'a avoué Durzy par téléphone.

Pour LinkedIn, la leçon est la même qu'il y a quatre ans : quand on vous confie des mots de passe, assure-vous de les protéger convenablement. Quant aux utilisateurs, si vous n'avez pas déjà changé votre mot de passe il y a quatre ans, faites-le maintenant, surtout si vous utilisez le même mot de passe sur d'autres sites (et au passage, arrêtez de faire ça).

« Comme les gens réutilisent souvent les mêmes mots de passe, on risque de voir beaucoup d'autres comptes être dévoilés », prédit Hunt.

L'autre leçon, c'est que même les vieilles données piratées peuvent avoir de la valeur, puisque nombre de ces mots de passe ont de bonnes chances d'être encore valides.