LinkedIn a confirmé hier que les mots de passe encryptés figurant sur une liste publiée sur un site Internet russe appartiennent à ses utilisateurs. Selon SophosLabs, 3.5 millions de ces 5.8 millions mots de passe auraient été crackés.

Le réseau social précise sur son blog que les comptes d'utilisateurs dont le mot de passe a été hacké apparaîtront comme non valables au log in, et indique les mesures à prendre pour réinitialiser le mot de passe dans ces cas. Les utilisateurs affectés devraient recevoir un email de LinkedIn, ne comprenant aucun lien, avec des instructions pour réinitialiser le mot de passe. Après avoir suivi ces instructions, ils recevront un deuxième email avec un lien pour la réinitialisation, puis un email du Customer Support de LinkedIn avec des informations supplémentaires.

Réinitialiser son mot de passe mais attention aux spams

Le réseau social conseille aux utilisateurs qui n'ont pas été affectés de réinitialiser leur mot de passe dans tous les cas, puisque ce dernier se verra alors conférer une protection supplémentaire. En effet, selon SophosLabs, les mots de passe dorénavant réinitialisés bénéficieront d'un nouveau niveau de sécurité avant encryptage, appelé «salted hashed format», qui les rendra moins vulnérables aux techniques de hacking du style attaques au dictionnaire.

Par ailleurs, selon des propos du consultant en technologie Tom Cheesewright, recueillis par la BBC, les utilisateurs qui auraient réinitialisé leur mot de passe hier devraient répéter l'opération aujourd'hui, ces modifications ayant pu être captées par les hackers. Ce dernier conseille encore aux utilisateurs de LinkedIn de modifier le mot de passe de tous leurs comptes internet, notamment email ou de réseaux sociaux.

Enfin, le site LastPass.com propose un outil sécurisé pour vérifier si un mot de passe a été affecté (voir liens associés).

ICTjournal.ch