LinkedIn: une fuite pas très professionnelle

Ecrans.fr · 06-06-2012 18:40:53

LinkedIn: une fuite pas très professionnelle

Le réseau social du monde du travail a laissé filer dans la nature plus de 6 millions de mots de passe, dont certains auraient déjà été décryptés.

Lire l'article

Juju Dredd · 06-06-2012 19:19:56

Ecrans.fr a écrit :

Un sérieux problème pour la confidentialité des données (qui appartiennent aux utilisateurs), sur lequel LinkedIn ne s’est pas encore exprimé.

Bah, pas grave, puisque ce sont des professionnels sérieux, aucun risque qu'ils perdent ces données et qu'elles se fassent récupérer par des hackers...

ataraxo · 06-06-2012 19:39:35

Ecrans.fr a écrit :

Le site spécialisé américain The Next Web avance pour sa part le chiffre — invérifiable — de 300 000 mots de passe d’ores et déjà crackés.

Il semble qu'il s'agisse des hashes SHA-1 sans sel (comme les régimes). Dans ces conditions, le déchiffrage demande très peu de travail pour tous les mots de passes courants et combinaisons usuelles (en utilisant des listes de hashes pré-calculés).

Je me garderai bien de faire une estimation chiffrée mais il me semble peu probable que seulement 5% des comptes soient concernés par la première vague d'attaques (ou alors les utilisateurs de LinkedIn sont plus prudents que la moyenne).

Ecrans.fr a écrit :

Si vous utilisiez le même mot de passe sur d’autres sites internet, assurez-vous de les changer également.

Et si vous utilisez le même mot de passe pour tous vos comptes, vous êtes mal barrés.

Dernière modification par ataraxo (06-06-2012 19:40:12)

dr_surpriso · 06-06-2012 20:44:26

FB sert à faire semblant d'avoir une vie sociale. Linkedin, à faire semblant d'être un pro. Cette génération...

ataraxo · 06-06-2012 21:45:57

dr_surpriso a écrit :

Linkedin, à faire semblant d'être un pro. Cette génération...

Quelle décadence cette jeunesse.

De mon temps, à 16 ans on allait à la mine ou à la guerre et on ne gâchait pas son temps avec ces futilités. Et si le travail venait à manquer, il suffisait d'aller aux docks ou en place de grève pour en chercher.

Et ça ne servait à rien de garder contact avec d'anciens collègues ou clients puisque nous étions emportés par un un coup de grisou ou un éclat d'obus avant d'avoir eu l'occasion de changer de carrière.

A_ · 06-06-2012 21:48:39

mon dieu, pour changer mon mot de passe faut il encore que je m'en souvienne.

Yean3d · 07-06-2012 01:15:16

Ecrans.fr a écrit :

Et n’utilisez plus jamais le même mot de passe sur de multiples sites internet.

C'est beau, un avis d'expert en sécurité informatique. Un brin naïf et déconnecté des réalités... Il aurait pu rajouter qu'il faut aussi renouveler l'integralité de ces mots de passe tous les 6 mois.

Juju Dredd · 07-06-2012 09:00:35

Yean3d a écrit :

Ecrans.fr a écrit :
Et n’utilisez plus jamais le même mot de passe sur de multiples sites internet.
C'est beau, un avis d'expert en sécurité informatique. Un brin naïf et déconnecté des réalités... Il aurait pu rajouter qu'il faut aussi renouveler l'integralité de ces mots de passe tous les 6 mois.

Avec des majuscules/minuscules/chiffres et caractères spéciaux, toujours au nombre maximal de caractères autorisés, et bien sûr pour des raisons de sécurité ne rien noter, ne rien mettre dans un fichier.

A_ · 07-06-2012 09:09:17

et ne pas s'en souvenir.

dr_surpriso · 07-06-2012 09:09:21

Juju Dredd a écrit :

Avec des majuscules/minuscules/chiffres et caractères spéciaux, toujours au nombre maximal de caractères autorisés, et bien sûr pour des raisons de sécurité ne rien noter, ne rien mettre dans un fichier.

Et ne rien se souvenir non plus parce qu'"ILS" peuvent lire dans les pensées!

Yezurof · 07-06-2012 09:34:36

Il existe de très bons utilitaires de gestion de mots de passe chiffrés.
Ca permet d'avoir pour chaque site un pass aléatoire d'un bon niveau de sécurité.

crapotobasta · 07-06-2012 09:44:58

ataraxo a écrit :

Quelle décadence cette jeunesse.
De mon temps, à 16 ans on allait à la mine ou à la guerre et on ne gâchait pas son temps avec ces futilités. Et si le travail venait à manquer, il suffisait d'aller aux docks ou en place de grève pour en chercher.
Et ça ne servait à rien de garder contact avec d'anciens collègues ou clients puisque nous étions emportés par un un coup de grisou ou un éclat d'obus avant d'avoir eu l'occasion de changer de carrière.

Excellent

juanito · 07-06-2012 18:09:23

ataraxo a écrit :

Quelle décadence cette jeunesse.
De mon temps, à 16 ans on allait à la mine ou à la guerre et on ne gâchait pas son temps avec ces futilités. Et si le travail venait à manquer, il suffisait d'aller aux docks ou en place de grève pour en chercher.
Et ça ne servait à rien de garder contact avec d'anciens collègues ou clients puisque nous étions emportés par un un coup de grisou ou un éclat d'obus avant d'avoir eu l'occasion de changer de carrière.

Me gusta

A_ · 07-06-2012 18:46:55

http://nakedsecurity.sophos.com/2012/06 … -password/ et maintenant lastfm... pfff encore un à se souvenir.

Juju Dredd · 07-06-2012 20:18:50

A_ a écrit :

http://nakedsecurity.sophos.com/2012/06 … -password/ et maintenant lastfm... pfff encore un à se souvenir.

T'avais qu'à mettre le même partout.
À l'avenir tu feras comme ça.
De rien pour le conseil.

CParis · 11-06-2012 12:02:44

Bon j'ai reçu le petit mail de Linkedin me disant que je suis dans les 5%, et evidemment je dois avoir utilisé ce password sur au moins 10 autres sites (mais pas sur Ecrans hein...)

Vous avez des tips sur la gestion de passwords? Avec environ 40 comptes par-ci par là comment gérer des mots de passe différents avec maj/min, lettres et chiffres d'au moins 8 caractères - et bien sûr ne rien noter nulle part ?

Egmorn · 11-06-2012 13:16:41

Vous avez des tips sur la gestion de passwords? Avec environ 40 comptes par-ci par là comment gérer des mots de passe différents avec maj/min, lettres et chiffres d'au moins 8 caractères - et bien sûr ne rien noter nulle part ?

Cherche un gestionnaire de mot de passe (ex: KeepPass). Tu apprends un gros mot de passe pour accéder au logiciel. Et après tu génère automatiquement tes mots de passe avec le gestionnaire. Comme tu n'a plus besoin de t'en souvenir (ils sont stocké dans le gestionnaire) tu peux avoir des mots de passe complexe du genre: 7%bpNKevo0mkqHp4YSl7 (pense quand même a garder des mots de passe lisible et court pour les sites auquel tu accède depuis un smartphone ou une tablette ne pouvant pas lire ta clef USB)
Avec KeePass tu peux même avoir une base qui tient et se lance sur clef USB. Niveau sécurité tant que tu ne perd pas ta clef USB le risque devient proche de zéro.

Après y'a d'autres gestionnaire payant ou gratuit, faut faire ton marché (perso j'utilise LastPass car c'est une solution de stockage en ligne accessible partout mais c'est moins sécurisé qu'un gestionnaire sur clef USB (risque de piratage du compte en ligne) et c'est aussi un peu plus limité en terme de fonctionnalité (KeePass propose par exemple l'expiration automatique des mots de passe au bout de X jours mais LastPass ne l'a toujours pas))

En fait la réalité ce n'est pas qu'il ne faut rien noter. Juste qu'il faut que là ou tu note soit sécurisé. Si tu note dans un carnet, il suffit de te le voler. Si tu note coder dans un carnet c'est bon. Mais il faut se rappeler de la clef de chiffrement. Un gestionnaire de mot de passe c'est exactement cela: un carnet mais chiffrer. Donc impossible de le lire sans ton mot de passe principal.
Tu n'as plus qu'un seul mot de passe à retenir. A toi de le rendre le plus complexe possible.

Attention tout de même. Le danger du gestionnaire de mot de passe c'est l'oubli du mot de passe principal. Si tu perd le mot de passe principal tu ne peut plus accéder du tout à ta base de mot de passe donc tu perd tout tes mots de passe d'un coup. Donc bien avoir un mot de passe que tu soit sur de retenir mais suffisament sécuriser (perso j'utilise un mot de passe de 15 symboles avec chiffre, lettres majuscule, minuscule et symboles).

Dernière modification par Egmorn (11-06-2012 13:22:10)

Louise_ · 12-06-2012 03:59:19

Bonjour,

vous oubliez de signaler une autre maladresse de LinkedIn dans cette affaire. Après avoir constaté le problème de sécurité sur leurs serveurs, ils ont cru bon de communiquer au monde qu'il allaient "contacter les utilisateurs de compte piratés par email pour leur demander de changer leur mot de passe". Il n'en a pas fallu plus pour que d'autres pirates tentent de profiter de la panique en envoyant des emails se déclarant être LinkedIn, avec des liens menant sur des sites pirates, pour tenter de récupérer les données de connexion des utilisateurs. On aura bien sur reconnu la pratique, célèbre du Phishing (je crois qu'on dit hameçonnage en francais non ?).

Donc entre le piratage des serveurs, leurs données utilisateurs cryptés mais dans un format assez sécurisé, les pratiques douteuses de leur App iOS et Android et enfin leur politique qui facilite le phishing... ca fait un peu beaucoup, non ?

@+

Dernière modification par Louise_ (12-06-2012 04:00:17)

CParis · 13-06-2012 09:34:51

merci beaucoup @Egmorn pour tes précieux conseils, je regarde de ce pas Keep/LastPass

Annonce

#1 06-06-2012 18:40:53

LinkedIn: une fuite pas très professionnelle

#2 06-06-2012 19:19:56

Re : LinkedIn: une fuite pas très professionnelle

#3 06-06-2012 19:39:35

Re : LinkedIn: une fuite pas très professionnelle

#4 06-06-2012 20:44:26

Re : LinkedIn: une fuite pas très professionnelle

#5 06-06-2012 21:45:57

Re : LinkedIn: une fuite pas très professionnelle

#6 06-06-2012 21:48:39

Re : LinkedIn: une fuite pas très professionnelle

#7 07-06-2012 01:15:16

Re : LinkedIn: une fuite pas très professionnelle

#8 07-06-2012 09:00:35

Re : LinkedIn: une fuite pas très professionnelle

#9 07-06-2012 09:09:17

Re : LinkedIn: une fuite pas très professionnelle

#10 07-06-2012 09:09:21

Re : LinkedIn: une fuite pas très professionnelle

#11 07-06-2012 09:34:36

Re : LinkedIn: une fuite pas très professionnelle

#12 07-06-2012 09:44:58

Re : LinkedIn: une fuite pas très professionnelle

#13 07-06-2012 18:09:23

Re : LinkedIn: une fuite pas très professionnelle

#14 07-06-2012 18:46:55

Re : LinkedIn: une fuite pas très professionnelle

#15 07-06-2012 20:18:50

Re : LinkedIn: une fuite pas très professionnelle

#16 11-06-2012 12:02:44

Re : LinkedIn: une fuite pas très professionnelle

#17 11-06-2012 13:16:41

Re : LinkedIn: une fuite pas très professionnelle

#18 12-06-2012 03:59:19

Re : LinkedIn: une fuite pas très professionnelle

#19 13-06-2012 09:34:51

Re : LinkedIn: une fuite pas très professionnelle

Pied de page des forums