Le hack des mots de passe de Linkedin expliqué à ma mère

C’est une très mauvaise journée pour Linkedin puisque 6.5 millions de mots de passe chiffrés se sont retrouvés dans la nature, et parmi eux, il y a peut-être, probablement, certainement, le votre. Et là, j’entends la question : oui, mais s’ils sont chiffrés, ce vol ne sert à rien, et je n’ai pas besoin de changer mon mot de passe, donc je le garde !.

Erreur. Je vais vous expliquer pourquoi.

Quand vous vous inscrivez sur un nouveau service, ce dernier vous demande de donner un mot de passe. Ce mot de passe n’est pas conservé tel quel par l’éditeur, ce serait trop risqué, d’autant que la majorité des gens utilisent le même mot de passe sur tous les services. Au lieu de cela, le mot de passe est transformé en bouillie à l’aide d’une moulinette. Cette moulinette – nommée algorithme de hashage – ne marche que dans un seul sens : il n’est pas possible de retrouver le mot de passe original. Quand vous vous connectez, le service utilise la moulinette sur le mot de passe que vous venez d’entrer et le compare avec le résultat obtenu la première fois. Si c’est le même, vous êtes authentifié, sinon, vous vous faites jeter.

Ce n’est pas clair ?

Prenez un sachet de purée de pomme de terre en flocons, et faites le cuire en suivant bien la procédure indiquée sur le paquet. Vous obtenez une assiette de purée, mais impossible de revenir en arrière pour retrouver les flocons. La purée en flocons, c’est votre mot de passe, le mode de cuisson l’algorithme de hashage, l’assiette de purée, c’est le résultat du chiffrement. Si un méchant pirate prend toutes les marques purée en flocons du commerce, applique la méthode de cuisson standard et compare le résultat à votre assiette, il trouvera fatalement celle que vous avez utilisé.

En théorie, l’assiette de purée ne doit jamais sortir de votre cuisine, ce qui fait que le méchant pirate n’a aucune chance de trouver quelle marque de purée en flocons vous utilisez. Pourtant, cela arrive parfois. Pour s’en protéger, il existe une solution simple, et une bonne pratique, que tout le monde devrait utiliser : c’est l’utilisation de ce qu’on appelle un grain de sel.

Rajoutez une pincée de sel dans votre assiette de purée, et mélangez. Le goût de votre purée vient de changer sans que vous ayez changé votre mode de cuisson, et il devient quasi impossible de la reproduire à l’identique, puisqu’il faut désormais trouver à la fois la marque de flocons utilisée, la quantité exacte de sel et la marque utilisée.

Le problème, c’est que Linkedin n’a pas salé sa purée, et qu’il existe des échantillons de toutes les purées du marché disponibles un peu partout : on les appelle des Rainbow Tables. Au lieu de devoir préparer des millions d’assiette de purée, il vous suffit de comparer l’assiette volée sur avec tous les échantillons disponibles jusqu’à ce que vous trouviez le bon. Facile non ? Parce que Linkedin n’a pas mis de sel dans sa purée, des pirates peuvent potentiellement déduire votre mot de passe. C’est pour cette raison qu’il vous faut absolument changer votre mot de passe sur tous les services sur lesquels vous utilisez votre mot de passe Linkedin.

Par Bob 06/06/2012 at 16h08

Quelle bande de patates.

Ouais, bon, ça va, c’est mercredi.

Par Blikspirit 07/06/2012 at 06h31

Bonjour,

Vous ne précisez pas qu’il faut attendre confirmation que la faille est bouchée par LinkedIn avant de changer son mot de passe, sinon ça ne sert à rien. Ou alors le changer temporairement, mais en sachant qu’il faudra le rechanger une fois que tout sera ok. De plus même sans sel si l’utilisateur a choisi un mot de passe complexe, il sera très difficilement cassé, même si bien sûr on n’est jamais trop prudent. Un petit passage sur la complexité du mot de passe aurait été utile surtout pour Madame Michu qui met en général le nom de son caniche :-)

Par BrokenClock 07/06/2012 at 08h56

@Blikspirit : ce n’est pas seulement sur LinkedIn qu’il faut changer son mot de passe, mais sur tous les sites où on a utilisé le même mot de passe! Il ne faut surtout pas attendre au moins pour tous les autres! Et même pour LinkedIn, pourquoi attendre? Ce n’est est pas parce que des mots de passe ont pu être volés à l’instant t qu’ils vont l’être aussi facilement à l’instant t+1, même si la faille n’est pas entièrement collematée, et si vous ne changez pas votre mot de passe à t+1, qui empêche le voleur de le faire à votre place? Quitte à le changer de nouveau à t+2…

Par BrokenClock 07/06/2012 at 08h59

Au fait, la mal nommée Loi sur la Confiance en l’Economie Numérique dispose que les sites doivent conserver les mots de passe… en clair! Donc, si la même chose arrive avec, je ne sais pas, Viadeo, le travail sera encore plus facile, les voleurs auront directement accès à la purée en flocons, et pourront se faire passer pour vous sur tout le net. A noter que cette disposition a été attaquée par Google et Facebook, et qu’il a été question de la modifier, mais à ma connaissance, cela n’a pas été fait (encore?).

Par Blikspirit 07/06/2012 at 12h20

@BrokenClock: Si les gens ont utilisé le même mot de passe ailleurs, oui bien sûr il faut le changer partout. C’est déconseillé d’utiliser un seul pass mais Madame Michu ne le sait pas. (cela dit il n’y a pas les login avec les pass dans ce qui a été leaké, si j’ai bien compris, donc moins de risques)

“Ce n’est est pas parce que des mots de passe ont pu être volés à l’instant t qu’ils vont l’être aussi facilement à l’instant t+1, même si la faille n’est pas entièrement collematée, et si vous ne changez pas votre mot de passe à t+1, qui empêche le voleur de le faire à votre place? Quitte à le changer de nouveau à t+2…” Oui, il vaut mieux le changer, mais provisoirement. Si la faille n’est pas bouchée ça sert pas énormément cela dit… A suivre

Par paris call girls 24/12/2012 at 20h18

Comment puis-je changer le fond de mon blogspot, y compris les barres latérales?