Selon le site MotherBoard, une base de données contenant plus de 100 millions d'identifiants et de mots de passe est actuellement proposée à la vente sur le marché du « dark web », «The Real Deal».

ð Le réseau social réagit en provoquant une vague de réinitialisation des mots de passe.

En juin 2012, le réseau social professionnel LinkedIn confirmait une importante fuite de données. Il était alors estimé qu’entre 6,5 et 8 millions de comptes avaient été compromis. La société avait alors bloqué les comptes concernés et imposé aux utilisateurs de se choisir un nouveau mot de passe pour accéder à nouveau à leurs données.

Lafuite est probablement beaucoup plus importante qu’estimée au départ.

Selon le site LeakedSource,spécialisé dans l’analyse des fuites d’informations, suite à la mise en vente de la base de données contenant les adresses email et les mots de passe, l’on a apprend  qu’il s’agissait en fait d’un lot de 167 millions de comptes, dont 117 millions accompagnés du mot de passe.

Selon Ars Technica, la base aurait été mise en vente par un  certain « peace_of_mind », sur le site « The Real Deal ».

Il en demande 5 bitcoins, soit au cours actuel environ 1 820 euros.

Si LinkedIn a renforcé sa sécurité et colmaté la brèche initiale, la base représente quand même une importante liste d’adresses email, toujours utile pour du spam ou l’élaboration d’une campagne de phishing.

La réaction de LinkedIn

LinkedIn envoie des emails pour avertir les personnes concernées de la suite des évènements.

L’éditeur y rappelle les évènements de 2012, et s'il précise qu'il ne sait pas s'il s'agit d'une nouvelle fuite ou de l'ancienne, il semble confirmer dans un deuxième temps la seconde hypothèse.

« Nous prenons des mesures immédiates pour invalider ces mots de passe sur les comptes touchés, et nous contacterons les membres pour qu’ils les réinitialisent » lit-on sur le blog officiel.

LinkedIn rappelle que les mots de passe sont hachés depuis « plusieurs années », et que d’autres options ont été prises pour augmenter la sécurité des comptes, dont la plus importante est l’authentification à deux facteurs.

Il indique par ailleurs que les demandes de réinitialisation ne concernent que les utilisateurs qui n'auraient pas changé leur mot de passe depuis la fuite de 2012.

Les mots de passe les moins sûrs utilisés selon LeakedSource!

A cette occasion, LeakedSource fournit des informations sur les mots de passe utilisés.

Sur les 117 millions analysés, 753 305 d’entre eux sont la séquence  « 123456 », ce qu’il y a de pire !

«password » est à la troisième place, dépassant d’une courte tête par  « linkedin ».

On retrouve évidemment toutes les séries de chiffres plus ou moins longues comme « 125345679 », ou les répétitions de caractères tels que « 111111 ».

Viennent ensuite des mots de passe créés par des utilisateurs qui s’efforcent d’être plus prudents, comme « password1 » ou « abc123 », ou encore ceux qui utilisent des noms communs ou propres, tels que « charlie », « maggie » ou « sunshine »…pas bien mieux….

Il est à souligner que la création d’un mot de passe est une étape très importante de la sécurité informatique.

ð Quelques règles élémentaires sont à respecter :

-         créer un mot de passe unique pour chaque site si possible,

-         ne prendre aucun mot figurant dans le dictionnaire,

-         utiliser autant de types de caractères que possible (minuscules, majuscules, chiffres et spéciaux)

-         choisir une taillesuffisamment longue (au moins dix caractères dès que c’est possible).