Réseau social LinkedIn: vos données sont peut-être compromises ! Comment vous protéger…
Ce n’est pas une bonne semaine pour le réseau social professionnel LinkedIn. Plusieurs éléments sont venus ternir l’image de l’entreprise quant à sa capacité à préserver la confidentialité des données qui lui sont confiées par ses utilisateurs.Tout d’abord le réseau social a confirmé en début de semaine un problème grave de sécurité : certains (tout de même près de 6.5 millions de compte sont concernés) des mots de passe utilisateurs ont été compromis et la société a du mettre en place une procédure pour inciter ses utilisateurs à changer de mot de passe. Cette attaque a été revendiquée par un hacker russe. Un élément rassurant et qui permet de gagner du temps est que les mots de passe volés sont cryptés suivant le standard SHA-1. Il faudra donc du temps aux hackers pour les décrypter, et donc du temps pour les utilisateurs pour changer leurs mot de passe. Mais le SHA-1, sous la forme utilisée par LinkedIn, n’est pas inviolable, ce qui laisse penser que le temps est compté.
LinkedIn a déclaré avoir envoyé des emails à tous les comptes concernés… mais était-ce une si bonne idée ? En effet, cette politique a été rapidement détournée par des gens mal intentionnés qui ont lancé une campagne de spam et de phising. En clair, ces personnes essayent de se faire passer pour un email de LinkedIn qui demande le changement de mot de passe. Le reste est classique, vous pouvez être amené à communiquer votre mot de passe, sur un site ou ailleurs, qui n’est en aucun cas lié à LinkedIn. Si cette opération réussit, il n’y aura même pas besoin de décrypter les mot de passe SHA-1 volés puisque les utilisateurs donneront de bon gré les mots de passe s’ils ne font pas attention.
Cependant le cauchemard ne s’arrête pas là pour LinkedIn ! Plus tard dans la semaine, il a été découvert que l’application iOS (donc pour iPhone et iPad) de la société avait de sérieux défauts de sécurité. En effet l’application enverrait des information du calendrier de l’iPhone ou de l’iPad vers les serveurs de LinkedIn, qui, est-il besoin de le rappeler, ont été compromis par le vol de mots de passe. Les informations concernées sont: la liste de vos rendez-vous, la liste des participants, les heures de rendez-vous et toutes notes attachées. LinkedIn a confirmé ce détournement d’informations privées, tout en ajoutant que celles-ci circulaient cryptées en SSH et que les données étaient juste analysées et non conservées. Mais est-ce vraiment ce que nous attendons de l’utilisation de données par une société, surtout sans jamais obtenir d’autorisations de la part de l’utilisateur ? LinkedIn avait annoncé qu’une nouvelle version de l’application corrigerait ce problème. C’est semble-t-il, chose faite. Une nouvelle version (5.0.3) est à présent en ligne et semble corriger ces problèmes. Alternativement, si vous êtes utilisateur de l’application LinkedIn, une solution consiste à désactiver l’accès au calendrier. Sur iPhone, vous rendre sur votre profil, tapotez sur la roue dentée, puis sur « Ajouter Calendrier » et enfin désactiver l’option d’ajout de calendrier sur l’écran suivant. Sur l’iPad, cliquez sur la roue dentée en haut à gauche, et désactiver l’option « Montrer le calendrier ». Au passage, ce problème semble également concerner l’application Android.
Voici nos autres conseils pour régler cette situation et vous prémunir contre des événements similaires à l’avenir:
- Si vous êtes utilisateur du réseau, vous rendre de votre propre gré sur LinkedIn et changer votre mot de passe pour un nouveau. Faites attention de choisir un mot de passe suffisamment long, difficile à deviner et contenant diverses combinaisons de caractères,
- Ne pas cliquer sur des emails qui semblent venir de LinkedIn et qui vous demandent de changer votre mot de passe. Si vous recevez un email qui semble être de LinkedIn, à moins de savoir ce que vous faites, rendez vous de votre propre gré sur le site du réseau social, sans suivre de liens dans l’email, en tapant à la main l’adresse web du site, et procédez au changement de mot de passe,
- Ne jamais utiliser le même mot de passe à travers plusieurs site. A défaut, si une personne mal intentionnée dérobe un mot de passe, il aura accès à plusieurs de vos comptes sur plusieurs sites.
No Comment