Par mesure de sécurité, LinkedIn appelle certains de ses utilisateurs à réinitialiser leurs mots de passe qui pourraient ne plus être un gage de sécurité. En effet après le vol de 5,8 millions de mots de passe, l'inquiétude des membres du réseau grandit. Pour apporter une réponse a ces derniers, un développeur web de New York, Chris Shiflett, à conçu l'application web LeakedIn. Celle-ci permet de vérifier la présence du mot de passe parmis les plus de 6,5 millions (avec les doublons) divulgués hier sur un forum de pirates russe et mettant les données des usagers en danger. 

LeakedIn utilise le même algorithme que LinkedIn

Pour parvenir à son but, LeakedIn convertit le mot de passe en clair de l'utilisateur vers une version cryptée de celui-ci en utilisant le même algorithme que celui exploiter par LinkedIn (SHA-1). La conversion s'effectue dans le navigateur en utilisant JavaScript et ne transmet le mot de passe à aucune base de donnée. L'application se charge ensuite de vérifier si le texte ainsi obtenu correspond à l'un des mots de passe divulgués.
La transformation du mot de passe original en format crypté est rendu indispensable par le fait que tous les mots de passe présentés sur le forum n'aient pas encore été convertis en clair. Il est néanmoins probable que les pirates y travaillent. Chris Shiflett, le créateur de l'application écrit d'ailleurs sur son blog: "j'ai découvert que mon mot de passe n'était pas seulement l'un des 6,5 millions qui avaient été divulgués, il était aussi parmi ceux qui avaient été crackés. J'étais une victime". 

Cinq secondes pour cracker un mot de passe

Pour cracker les mots de passe, les pirates utilisent des applications se basant sur des listes de passwords précédemment hackés et regroupés dans un "dictionnaire". Une autre méthode utilisée est l'attaque par force brute, pour laquelle les programmes essayent rapidement plusieurs combinaisons de mots de passe dans l'espoir d'en trouver un correspondant. Toutefois ce dernier procédé demande plus de temps pour les passwords contenant à la fois des majuscules , des chiffres et des symboles. Robert David Graham, CEO de la sécurité chez Errata Security écrit que chaque lettre d'un mot de passe engendre 100 combinaisons possibles. Ainsi, un mot de passe composé de cinq caractères possèderait 10 milliards de combinaisons. Un chiffre impressionnant mais qui n'empêche pas les pirates de résoudre l'équation en 5 seconde, à condition d'utiliser un processeur adéquat tel que celui équipant la carte graphique Radeon HD 7970.

 
Pour un mot de passe comprenant six caractères, la durée de calcul s'élèverait à 500 secondes, tandis qu'elle passerait à 13 heures pour sept caractères. Pour une sécurité renforcée, le choix d'un mot de passe à huit caractères poussent le temps d'attente du pirate à 57 jours. Enfin, pour décourager complètement celui-ci, un password de neuf caractères lui demandera... quinze ans. A moins que vos données n'en vaillent vraiment la peine, cette solution aurait donc de quoi décourager la plupart des hackers.


LinkedIn renforce ses mesures de sécurité

Jusqu'alors, LinkedIn n'insérerait pas de caractères aléatoires dans ses tables de hash. Cette option aurait rendu plus difficile le crack des mots de passe par la force brut. C'est pourquoi la compagnie a déclaré que ce procédé serait dorénavant mis en place. Une mesure qui parait indispensable après les déclaration de la société de sécurité Sophos, selon laquelle près de 60% des hashs auraient été crackés par force brute.
 
Dans les jours à venir, LinkedIn devra communiquer plus amplement sur sa politique de sécurité pour rassurer les utilisateurs. Un chercheur en sécurité de la compagnie ESET, Cameron Camp, à d'ailleurs déclaré :"ce sera vraiment très intéressant de voir dans les deux ou trois prochains jours ce que dit LinkedIn". Affaire à suivre.