Linkedin

C’est une très mauvaise journée pour Linkedin puisque 6.5 millions de mots de passe chiffrés se sont retrouvés dans la nature, et parmi eux, il y a peut-être, probablement, certainement, le votre. Et là, j’entends la question : oui, mais s’ils sont chiffrés, ce vol ne sert à rien, et je n’ai pas besoin de changer mon mot de passe, donc je le garde !.

Erreur. Je vais vous expliquer pourquoi.

Quand vous vous inscrivez sur un nouveau service, ce dernier vous demande de donner un mot de passe. Ce mot de passe n’est pas conservé tel quel par l’éditeur, ce serait trop risqué, d’autant que la majorité des gens utilisent le même mot de passe sur tous les services. Au lieu de cela, le mot de passe est transformé en bouillie à l’aide d’une moulinette. Cette moulinette – nommée algorithme de hashage – ne marche que dans un seul sens : il n’est pas possible de retrouver le mot de passe original. Quand vous vous connectez, le service utilise la moulinette sur le mot de passe que vous venez d’entrer et le compare avec le résultat obtenu la première fois. Si c’est le même, vous êtes authentifié, sinon, vous vous faites jeter.

Ce n’est pas clair ?

Prenez un sachet de purée de pomme de terre en flocons, et faites le cuire en suivant bien la procédure indiquée sur le paquet. Vous obtenez une assiette de purée, mais impossible de revenir en arrière pour retrouver les flocons. La purée en flocons, c’est votre mot de passe, le mode de cuisson l’algorithme de hashage, l’assiette de purée, c’est le résultat du chiffrement. Si un méchant pirate prend toutes les marques purée en flocons du commerce, applique la méthode de cuisson standard et compare le résultat à votre assiette, il trouvera fatalement celle que vous avez utilisé.

En théorie, l’assiette de purée ne doit jamais sortir de votre cuisine, ce qui fait que le méchant pirate n’a aucune chance de trouver quelle marque de purée en flocons vous utilisez. Pourtant, cela arrive parfois. Pour s’en protéger, il existe une solution simple, et une bonne pratique, que tout le monde devrait utiliser : c’est l’utilisation de ce qu’on appelle un grain de sel.

Rajoutez une pincée de sel dans votre assiette de purée, et mélangez. Le goût de votre purée vient de changer sans que vous ayez changé votre mode de cuisson, et il devient quasi impossible de la reproduire à l’identique, puisqu’il faut désormais trouver à la fois la marque de flocons utilisée, la quantité exacte de sel et la marque utilisée.

Le problème, c’est que Linkedin n’a pas salé sa purée, et qu’il existe des échantillons de toutes les purées du marché disponibles un peu partout : on les appelle des Rainbow Tables. Au lieu de devoir préparer des millions d’assiette de purée, il vous suffit de comparer l’assiette volée sur avec tous les échantillons disponibles jusqu’à ce que vous trouviez le bon. Facile non ? Parce que Linkedin n’a pas mis de sel dans sa purée, des pirates peuvent potentiellement déduire votre mot de passe. C’est pour cette raison qu’il vous faut absolument changer votre mot de passe sur tous les services sur lesquels vous utilisez votre mot de passe Linkedin.

Perry the Platypus wants you to subscribe now! Even if you don't visit my site on a regular basis, you can get the latest posts delivered to you for free via Email: