Linkedin vient d'annoncer sur son blog officiel un piratage de grande envergure qui touche ses utilisateurs. En 2012 déjà, Linkedin avait été piraté et de nombreux membres avaient dû modifier leur mot de passe. Cette fois-ci, plus d'une centaine de comptes utilisateurs ont été piratés, et il semblerait que ce soit encore en lien avec le piratage de 2012, pourtant résolu en apparence à l'époque.
Tous les mots de passe des comptes incriminés vont être annulés d'après le communiqué de la firme, Linkedin a indiqué vouloir prendre des mesures immédiates pour faire cesser ce piratage. Le communiqué redirige d'ailleurs les utilisateurs vers les bonnes pratiques en matière de sécurité, que ce soit dans l'usage de la double identification (bien plus sécurisée) ou dans la création de mots de passe complexe (mélange de lettres, chiffres, symboles, voire en changeant la casse des caractères).
Une méthode de piratage simple à contourner ?
Le communiqué est volontairement imprécis sur le sujet du piratage, afin de ne pas permettre à d'autres hackers de procéder de la même manière. Toutefois, si nous lisons entre les lignes, nous pouvons comprendre qu'il s'agit d'un système approfondi de "hachage" qui a été inversé, à la manière de la méthode brute force bien connue des hackers. En théorie, les méthodes de cryptage peuvent être décryptées, tandis que les hashs ne peuvent pas être "déhachés". Mais il existe une méthode absolue pour trouver quand même une manière de revenir au mot de passe précédent.
Prenons le cas du hachage type en md5 (utilisé dans de nombreux sites web), il modifie n'importe quel chaîne de caractère en un hash de 32 caractères de longueur. Par exemple, le mot "salut" devient 3ed7dceaf266cafef032b9d5db224717. Si je sais qu'il prend cette forme en md5, il ne me reste qu'à créer une table de correspondance dans une base de données, avec au moins deux colonnes : une intègre "salut", et l'autre sa correspondance en md5, voire dans d'autres types de hachage... Une fois cette table de correspondance réalisée, il suffit d'effectuer des recherches inversées via la colonne md5 pour trouver les correspondances réelles (donc "salut" dans notre exemple).
Il semblerait que ce soit cette technique qui ait été utilisée en 2012 contre Linkedin, et que ce soit encore la même chose cette fois-ci, mais à grande envergure. Ceci révèle un point fondamental : les pirates ont trouvé la méthode de hachage de Linkedin !
Si cela s'avère vrai, il leur suffit d'utiliser la méthode brute force (des outils comme Crunch sont très connu pour générer des listes de mots de passe par exemple), conjugée avec la fonction de hachage de Linkedin, pour créer leur table de correspondance, et donc pour pirater des centaines de millions de comptes...
Ma peur est donc que ce type de failles se reproduise couramment, je vous recommande donc fortement des mots de passe ultra-sécurisés et non naturels (voici un exemple complexe à trouver via des dictionnaires en brute force : h@ck3Rs), et d'employer la double authentification si cela vous semble bon. Le plus difficile est de trouver la méthode de hachage, et si Linkedin souhaite la modifier, nous devrons tous modifier nos mots de passe. Comme cela ne semble pas être le cas, cela signifie que la méthode va rester la même, les pirates pourront donc continuer leur piratage en masse, en l'affinant de plus en plus avec le temps...