
De nombreux forums font circuler en ce moment une liste contenant plus de 6 millions de mots de passes hachés qui pourrait provenir de LinkedIn. Il y aurait pour l'instant prés de 300.000 mots de passes déjà crackés.
La liste contient des hash en pure SHA1 sans nom ni adresse e-mail. Si un de ces mots de passe est décrypté, il va être difficile de se connecter sans l'adresse e-mail. Cependant, il est probable que la personne qui a fait remonter cette liste possède également les adresses e-mails. C'est même évident. La majorité des mots de passe déjà crackés contiennent "linked" ou "linkedin" comme par exemple "lamalinkedin". Ceci laisse penser que les mots de passe proviennent probablement du réseau LinkedIn. Mais ils n'ont toujours pas confirmé.

C'est assez choquant car même des mots de passe du type "lama093760239?" ont été cracké en peu de temps. Cela est dû au fait qu les valeurs de hachage sont évidemment générées sans salt. Cela rend les attaques faciles en utilisant les rainbow tables. Si ça vient vraiment de LinkedIn, il va falloir qu'ils apprennent à sécuriser les mots de passe en base de données mais j'en doute...
Edit : Bon je n'aurai pas dû douter... LinkedIn a annoncé qu'il enquêtait sur l'incident. Dans cette intervalle, plusieurs sources fiables ont dit qu'ils ont trouvé leurs mots de passe dans cette liste.
En ce qui concerne les pages qui vous invitent à saisir votre mot de passe pour vérifier si vous êtes affecté, ce sont des sites de phishing. Il y aura comme toujours des vagues de spam qui vous demanderont de changer votre mot de passe avec un lien vers un site de phishing. Au lieu de suivre ces liens, entrez vous-même l'URL vers LinkedIn (linkedin.com).
Peu après cette enquête, LinkedIn a confirmé que certains des mots de passe compromis correspondent à des comptes appartenant à des membres. Les utilisateurs touchés devraient recevoir un e-mail avec des instructions pour changer de mot de passe. Cet e-mail ne contiendra pas de liens et vous devrez vous rendre vous même sur le site. Le directeur Vicente Silveira a d'ailleurs ajouté qu'ils allaient dorénavant stocker les mots de passe de manière plus sécurisée. Tout va bien...