C’est devenu l’un des évènements de la semaine passée. Dans un message publié le 18 mai sur son blog, LinkedIn a raconté avoir subi il y a quatre ans une intrusion qui s’est terminée par la récupération des accès (identifiants et mots de passe : plus exactement des hashes SHA-1 non salés) utilisés par plusieurs millions de membres pour se connecter à leur compte.
Bien sûr, LinkedIn a expliqué avoir pris toutes les dispositions qui s’imposaient à l’époque pour protéger ses utilisateurs, en provoquant la réinitialisation des accès qui ont fini dans la nature. Toutefois, il a été découvert que le larcin a été plus large que prévu : on estime à plus de 167 millions de personnes le nombre de victimes du hack. C’est considérable. Et peu rassurant.
Que faire, dans ces conditions ?
Mail d’alerte de LinkedIn
Si vous êtes inscrit sur ce site, vous avez pu recevoir un courrier dans lequel le site vous informe que « nous avons récemment remarqué un risque potentiel pour votre compte LinkedIn provenant d’une source extérieure à LinkedIn ». Vérifiez la boîte aux lettres avec laquelle vous avez créé votre compte.
Attention : LinkedIn a indiqué lundi avoir terminé son processus d’invalidation de tous les comptes jugés à risque. Cependant, certains ont pu lui échapper. Qui plus est, les mails d’alerte n’ont peut-être pas encore tous été envoyés, ou alors certains ont été mis à la poubelle sans que soit consulté l’objet du message.
Have I been pwned ?
Dans ces cas-là, une autre solution consiste à passer par le site de Troy Hunt, Have I been pwned ?, qui est spécialisé dans l’analyse des fuites de données. Dans un message publié sur Twitter, il explique avoir mis la main sur le leak des accès et des mots de passe et qu’il a d’ores et déjà inclus 16 % d’entre eux.
New breach: LinkedIn had 164M accounts exposed. 16% were already in @haveibeenpwned Read more: https://t.co/pGO9AoyrEm
— Have I been pwned? (@haveibeenpwned) 24 mai 2016
Si votre adresse est concernée, un message d’alerte en rouge sera affiché. Là encore, la prudence est de mise : ce n’est pas parce que votre mail ne donne rien qu’il ne faut pas prendre des mesures. Comme l’a indiqué Troy Hunt, seule une toute petite portion des accès a été pour l’instant analysée.
Prudence est mère de sûreté
Si vous n’avez pas reçu de mail de la part de LinkedIn et si votre adresse n’apparaît pas sur le site de Troy Hunt, est-ce à dire que votre compte ne risque rien ? Si vous aviez changé de mot de passe après 2012 (et si vous n’utilisiez pas le même ailleurs…), vous ne présentez pas un risque très élevé. Cela dit, prudence est mère de sûreté et un changement de mot de passe ne fait jamais de mal.
C’est d’ailleurs ce que recommande LinkedIn. « Changer régulièrement votre mot de passe est toujours une bonne idée et vous ne devez pas attendre la notification », écrit le réseau social. Même si vous pensez ne pas être concerné par la brèche, l’incident peut être une bonne occasion de faire une petite mise à jour.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !