Fuite de mots de passe LinkedIn

Le 5 juin 2012, environ 6,5 millions de hachages de mots de passe LinkedIn sont apparus sur un forum de piratage russe, conduisant le réseau professionnel à réinitialiser les comptes concernés. Ce qui ressemblait alors à un incident circonscrit s'est révélé, quatre ans plus tard, l'une des plus grandes fuites d'identifiants de l'époque : le butin complet couvrait 117 millions de comptes, restés en sommeil jusqu'à leur mise en vente sur le dark web en 2016.

Ce qui s'est passé

En mai 2012, le ressortissant russe Yevgeniy Nikulin a compromis l'ordinateur d'un employé de LinkedIn et installé un logiciel malveillant qui a capturé ses identifiants. Profitant de cet accès privilégié, il a atteint la base de données interne des utilisateurs de LinkedIn et exfiltré adresses e-mail et hachages de mots de passe.

LinkedIn stockait les mots de passe sous forme de hachages SHA-1 non salés. SHA-1 est un algorithme de hachage rapide, et sans sel propre à chaque utilisateur, des mots de passe identiques produisent des hachages identiques — rendant triviale leur cassure à grande échelle au moyen de tables précalculées et de dictionnaires. Après la publication des 6,5 millions de hachages, les chercheurs en ont cassé la grande majorité en quelques jours.

Comment l'ampleur réelle est apparue

En mai 2016, un vendeur sous le pseudonyme « Peace » a proposé 117 millions de combinaisons e-mail/mot de passe LinkedIn — le reste du butin de 2012 — pour environ 5 bitcoins (~2 200 dollars à l'époque) sur une place de marché du dark web. LinkedIn a confirmé l'authenticité des données et invalidé les mots de passe de chaque compte n'ayant pas changé ses identifiants depuis 2012. Le même acteur vendait simultanément les données des fuites MySpace et Tumblr, dans une vague de « méga-fuites » qui ont atteint le marché public en 2016.

Impact

• 117 millions de comptes ont vu leurs adresses e-mail et des hachages de mots de passe cassables exposés.
• Parce que tant d'utilisateurs réutilisaient leurs mots de passe, ces identifiants ont alimenté des années d'attaques par bourrage d'identifiants contre d'autres services ; plusieurs prises de contrôle de comptes très médiatisées (dont les comptes de réseaux sociaux de Mark Zuckerberg) ont été reliées à des mots de passe LinkedIn réutilisés.
• Nikulin a été arrêté à Prague en octobre 2016, extradé vers les États-Unis, puis reconnu coupable en juillet 2020 des intrusions chez LinkedIn, Dropbox et Formspring. Il a été condamné à 88 mois de prison.

Pourquoi c'est important

LinkedIn est le cas d'école de deux leçons durables. D'abord, le stockage des mots de passe compte : un SHA-1 non salé a transformé un vol de base de données en une compromission quasi totale des identifiants. Les bonnes pratiques modernes imposent des algorithmes lents et salés comme bcrypt, scrypt ou Argon2 précisément pour rendre ce type de cassure de masse irréalisable.

Ensuite, l'ampleur réelle d'une fuite peut rester en sommeil pendant des années. L'écart entre le chiffre de 6,5 millions annoncé en 2012 et les 117 millions confirmés en 2016 a montré que les divulgations initiales sous-estiment souvent les dégâts, et que des identifiants dérobés conservent leur valeur longtemps après l'intrusion d'origine. L'épisode a contribué à accélérer l'adoption par l'industrie de l'authentification multifacteur et de services de surveillance de fuites comme Have I Been Pwned, qui a intégré les données LinkedIn comme l'un de ses jeux de données fondateurs.