Enquête RegionsJob : identité numérique et recherche d’emploi
identite-numerique-recherche-emploi
Quiz : maîtrisez-vous vraiment votre identité numérique ?
identite-numerique
Identité numérique

Vérifier si son mot de passe LinkedIn a été hacké

La nouvelle est tombée hier : 6,5 millions de mots de passe LinkedIn ont été hackés ! Le malfrat, qui se surnomme dwdm, viendrait de Russie et aurait également volé 1,5 millions de mots de passe du site de rencontre eHarmony. La liste a été publiée en ligne, il est donc important de changer votre mot de passe au plus vite pour éviter tout inconvénient futur…

Le site LastPass propose un outil pratique si vous souhaitez savoir si votre compte fait partie de ceux qui ont été hackés. Spécialisé dans les mots de passe (ça tombe bien), il a sorti un espace permettant de rentrer son mot de passe LinkedIn, qui est ensuite crypté en SHA-1 et confronté à la liste des mots de passe divulgués. Vous aurez votre réponse assez rapidement… Enfin si vous avez envie de donner votre mot de passe à un site, mais ça c’est encore autre chose. Dans tous les cas, le meilleur moyen de vous protéger est de changer directement votre mot de passe, de cette manière vous serez tranquilles.

Si vous avez effectivement été hacké, LinkedIn a pris les choses en main pour vous faciliter la vie. Votre mot de passe actuel a été supprimé, et vous recevrez un mail pour vous prévenir des démarches à accomplir pour en changer. LinkedIn en profite pour donner des conseils pour éviter ce genre de désagréments :

  • Ne jamais changer votre mot de passe en suivant un lien envoyé dans un mail, toujours le faire depuis le site en question.
  • Changez votre mot de passe régulièrement.
  • N’utilisez pas le même mot de passe sur tous les sites.
  • Choisissez bien votre mot de passe : pas de « vrai » mot, un mélange de chiffres et de lettre en minuscules et majuscules, des caractères spéciaux, une longueur minimum…
  • Ne donnez jamais votre mot de passe à quelqu’un d’autre !

Si vous souhaitez changer votre mot de passe de façon préventive, vous pouvez le faire depuis la page Settings de LinkedIn. Et n’oubliez pas de jeter un œil à notre article 14 ressources pour sécuriser son mot de passe !

L'outil de LastPass

Commentaires

  1. Genma
    7 juin 2012 - 10h14

    Un bon moyen de se constituer une « rainbow table » password/SHA-1, non? « Le site » a plus besoin de chercher à casser les mots de passe, on lui donne déjà déchiffré…

  2. All
    7 juin 2012 - 10h33

    +1 avec Genma: complètement stupide!!!

  3. Pierre Ristic
    7 juin 2012 - 10h37

    Oui :) en gros « venez enrichir notre base de mots de passes. d’ailleurs nous vous rassurons : votre mot de passe n’a pas à être changé :) »

  4. Flavien Chantrel
    7 juin 2012 - 10h41

    Pas faux… En même temps, le site est un gestionnaire de mots de passe, s’il voulait utiliser les mots de passe entrés, il aurait déjà de quoi faire dans son cœur de business, non ? D’autant que pour le coup, on entre uniquement le mdp, pas le compte utilisateur qui va avec.

  5. Remi
    7 juin 2012 - 13h12

    « Choisissez bien votre mot de passe : pas de « vrai » mot, un mélange de chiffres et de lettre en minuscules et majuscules, des caractères spéciaux, une longueur minimum… »

    C’est une fausse vérité, de vrais mots dans une phrase font très bien l’affaire. Sans compter qu’il peut bien y avoir des caractères spéciaux dans une phrases (accents, apostrophes, ponctuations,…) des chiffres, etc…

    Et le tout est bien plus facile à se souvenir qu’une combinaison compliquée. Pour illustrer rien ne vaut un bon vieux comics ;)

    http://xkcd.com/936/

  6. OrionLucifer
    7 juin 2012 - 19h45

    Jusqu’au jour où c’est le site en question qui va à nouveau de faire voler ses tables, avec cette fois-ci, le hash et le mot de passe en clair…

  7. Leeroy
    8 juin 2012 - 10h10

    Lastpass est un site plus que sérieux. Il suffit de vous rendre sur la page d’accueil pour voir qu’il a été cité sur plusieurs grands sites et dans la presse. Il est très connu et utilisé.

    Comme le dit Flavien, leur business c’est de stocker des mots de passe de façon sécurisée, et ils le font bien. Si ils voulaient constituer une rainbow table ou accéder aux comptes de ses utilisateurs, ça ferait longtemps que ça se saurait.

    Tout ce qu’ils veulent c’est aider leurs utilisateurs à sécuriser leurs comptes en ligne, les inciter à changer leurs mots de passe souvent, utiliser des mots de passe différents pour chaque sites, etc…

  8. Leeroy
    8 juin 2012 - 10h16

    De plus, l’outil en ligne ne stocke pas le mot de passe Linkedin. Le mot de passe est converti en SHA-1 en Javascript directement sur la page web (qui est en HTTPS, qui plus est) et seul le hash de ce mot de passe est envoyé aux serveurs de Lastpass pour le comparer à la base des hash qu’ils ont dû récupérer sur le forum russe.

  9. Tris
    8 juin 2012 - 11h35

    Oh la jolie arnaque ! Et dire qu’il y a des gens qui vont se jeter dessus.
    Plus sérieusement, se fier à ce type de systèmes revient à donner les clefs de sa maison à un inconnu dans la rue.

  10. Denis
    9 juin 2012 - 8h14

    +1 également, avec Genma et All.

  11. Dodutils
    12 juin 2012 - 10h45

    Il n’y a aucun danger à saisir le mot de passe dans leur page de vérification car c’est la version « hash » qui est envoyée et pas le pass en clair.

    D’ailleurs c’est ce qu’ils indiquent sur leur site :

    Wait a Minute, Why Is This Tool Safe?

    You already changed your password, right? You no longer use that old password anywhere else, right? If not please make sure you do that first. The above tool asks you to enter your LinkedIn password, and then computes its SHA-1 hash and sends the result to LastPass.com to search the list of 6.5 million leaked password hashes.

    Et pour preuve voici le code source de leur passe qui prend en compte cette fonction de vérification :

    Le bouton d’envoi dur mot de passe :

    input id= »mysubmit » type= »submit » value= »TEST MY PASSWORD » onclick= »go();return false; »

    La fonction derrière ce bouton d’envoi :

    function go()
    {
    var password = $(« #mypassword »).val();
    if (password== » »)
    {
    alert(« Please enter a password. »);
    $(« #mypassword »).focus();
    return;
    }

    $(« #mypassword »).attr(« disabled », »disabled »);
    $(« #mysubmit »).attr(« disabled », »disabled »);

    var hash = Sha1.hash(password);

    var html = « The SHA-1 hash of your password is: « +hash+ »« ;
    html += «  »;
    html += « Please wait while we check if your password was one of the ones that was compromised… »;
    $(« #newcontent »).html(html);

    $.ajax({global:false,type: »POST »,cache:false,dataType: »json »,
    url: « /linkedin/index.php?rand=44052874521″,
    data: {cmd: »check »,hash:hash},
    success:checkack,
    failure:checknack});
    }

  12. Dodutils
    12 juin 2012 - 11h19

    Par contre bizarrement ça répond toujours que le mot de passe saisi n’était pas dans la base volée même pour le top 10 des mots de passes « de base ».

Laisser un commentaire

Il est possible d’utiliser ces balises HTML :
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>
Ce blog supporte le système Gravatar, pour obtenir le vôtre, inscrivez-vous sur Gravatar