LinkedIn a reconnu que le piratage subi en 2012 était plus important que prévu. Si vous avez un compte sur le réseau social, voici des méthodes pour vérifier si vous êtes concerné.

C’est devenu l’un des évènements de la semaine passée. Dans un message publié le 18 mai sur son blog, LinkedIn a raconté avoir subi il y a quatre ans une intrusion qui s’est terminée par la récupération des accès (identifiants et mots de passe : plus exactement des hashes SHA-1 non salés) utilisés par plusieurs millions de membres pour se connecter à leur compte.

Bien sûr, LinkedIn a expliqué avoir pris toutes les dispositions qui s’imposaient à l’époque pour protéger ses utilisateurs, en provoquant la réinitialisation des accès qui ont fini dans la nature. Toutefois, il a été découvert que le larcin a été plus large que prévu : on estime à plus de 167 millions de personnes le nombre de victimes du hack. C’est considérable. Et peu rassurant.

Que faire, dans ces conditions ?

Mail d’alerte de LinkedIn

Si vous êtes inscrit sur ce site, vous avez pu recevoir un courrier dans lequel le site vous informe que « nous avons récemment remarqué un risque potentiel pour votre compte LinkedIn provenant d’une source extérieure à LinkedIn ». Vérifiez la boîte aux lettres avec laquelle vous avez créé votre compte.

Attention : LinkedIn a indiqué lundi avoir terminé son processus d’invalidation de tous les comptes jugés à risque. Cependant, certains ont pu lui échapper. Qui plus est, les mails d’alerte n’ont peut-être pas encore tous été envoyés, ou alors certains ont été mis à la poubelle sans que soit consulté l’objet du message.

Have I been pwned ?

Dans ces cas-là, une autre solution consiste à passer par le site de Troy Hunt, Have I been pwned ?, qui est spécialisé dans l’analyse des fuites de données. Dans un message publié sur Twitter, il explique avoir mis la main sur le leak des accès et des mots de passe et qu’il a d’ores et déjà inclus 16 % d’entre eux.

Si votre adresse est concernée, un message d’alerte en rouge sera affiché. Là encore, la prudence est de mise : ce n’est pas parce que votre mail ne donne rien qu’il ne faut pas prendre des mesures. Comme l’a indiqué Troy Hunt, seule une toute petite portion des accès a été pour l’instant analysée.

HIBP LinkedIn

Prudence est mère de sûreté

Si vous n’avez pas reçu de mail de la part de LinkedIn et si votre adresse n’apparaît pas sur le site de Troy Hunt, est-ce à dire que votre compte ne risque rien ? Si vous aviez changé de mot de passe après 2012 (et si vous n’utilisiez pas le même ailleurs…), vous ne présentez pas un risque très élevé. Cela dit, prudence est mère de sûreté et un changement de mot de passe ne fait jamais de mal.

LinkedIn

C’est d’ailleurs ce que recommande LinkedIn. « Changer régulièrement votre mot de passe est toujours une bonne idée et vous ne devez pas attendre la notification », écrit le réseau social. Même si vous pensez ne pas être concerné par la brèche, l’incident peut être une bonne occasion de faire une petite mise à jour.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.