[image:1,l]L’affaire, révélée mercredi matin par un site norvégien, fait grand bruit. Le réseau social professionnel LinkedIn aurait été piraté par un hacker qui se serait empressé de publier, sur un site de piratage russe, un fichier crypté contenant les identifiants et mots de passe de nombre d’utilisateurs. Au total 6,5 millions de personnes seraient concernées. Ce qui explique que le site, bien qu’il ne soit toujours pas en mesure de déterminer s’il a bien été piraté, prenne la chose très au sérieux. « Notre équipe continue d’enquêter, mais, à l’heure actuelle, il nous est encore impossible de confirmer que nous avons été victimes d’une faille de sécurité » ont expliqué les responsables de LinkedIn sur Twitter. « Restez à l’écoute.»
L’algorithme en cause
Plusieurs sites spécialisés l’affirment : c’est l’algorithme utilisé pour crypter les mots de passe qui serait en cause. Une faille de sécurité aurait permis au pirate d’accéder à n’importe quel compte du réseau LinkedIn.
Éviter les mots de passe chiffrés
« Seuls » 300 000 mots de passe auraient déjà été décryptés. Mais le pirate ne devrait pas s’arrêter là. Aussi est-il vivement recommandé aux utilisateurs de LinkedIn de modifier leur code secret. Et d’éviter les mots de passe sous forme chiffrée, les « hashes » qui sont bien plus faciles à reconstituer.
Un scandale peut en cacher un autre
Le même jour, des spécialistes israéliens de sécurité ont révélé que l’application LinkedIn pour IPhone récupérait, sans son consentement, les informations contenues dans le calendrier de l’utilisateur.
Un transfert automatique des informations
Une fois la fonctionnalité permettant aux utilisateurs de consulter leur calendrier IPhone dans l’application LinkedIn activée, cette dernière transférait automatiquement les informations contenues dans le calendrier (noms, coordonnées et autres informations personnelles ou professionnelles) à ses serveurs.
Une volonté d’apporter des « informations contextuelles »
Porte-parole de LinkedIn, Julie Inouye a indiqué au New York Times qu’il s’agissait d’une « fonction optionnelle que les utilisateurs peuvent activer ou pas » et que les informations relatives aux réunions inscrites dans le calendrier étaient utilisées pour « apporter plus d’informations contextuelles et chercher les profils [des] contacts [des utilisateurs] sur le site ». Reste que les utilisateurs de l’application n’en étaient pas informés.
Fin mai, une faille dans la version mobile du site avait déjà été détectée, obligeant LinkedIn à revoir son système de sécurité.