Piratage chez LinkedIn : tout savoir sur les failles exploitées
Analyse en détails de la faille du réseau social qui a permis à un pirate d'obtenir une liste de 6,5 millions de mots de passe. LinkedIn a commis une double faute.
I - Vol de mots de passe LinkedIn
Décryptage
Un pirate informatique a réussi à
s'introduire dans les serveurs de LinkedIn et à en extraire des informations.
Pour le prouver, il a publié une liste contenant 6,5 millions de mots de passe
d'utilisateurs de LinkedIn. Si les
attaques de pirates informatiques sont fréquentes, c’est la première fois qu’un
réseau social de cette ampleur (160 millions d’utilisateurs, et donc potentiellement
160 millions de mots de passe volés) en fait l’objet.
A la base, les mots de passe stockés
par LinkedIn ne sont pas en clair. Ils
sont en effet stockés sous forme de hash. Un hash est une fonction à sens
unique : connaissant le mot de passe, il est facile de calculer son hash; mais
connaissant le hash, il est extrêmement difficile de retrouver le mot de passe.
L'utilisation de hash est courante pour stocker les mots de passe de manière
sécurisée. En effet, lorsque l'utilisateur rentre son mot de passe, il suffit
de calculer le hash, et de vérifier qu'il correspond bien au hash stocké dans
le système. En cas d'intrusion, comme c'est le cas ici, le pirate informatique n'aura pas accès aux mots de passe, mais à leur
version chiffrée.
Le hash est censé rendre la récupération des mots de passe impossible. Nous sommes donc sauvés ?... Eh bien non. Il existe des méthodes pour retrouver les mots de passe assez rapidement en utilisant une technique de compromis temps/mémoire. Ce type d'attaque est connu depuis longtemps, et une contre-mesure simple et efficace est disponible. Elle consiste à saler le hash, c'est à dire ajouter un élément aléatoire qu'un attaquant ne peut pas prévoir par avance.
Malheureusement, cette précaution simple n'a pas été mise en place par LinkedIn. Ce qui signifie que même si les mots de passe volés n’étaient pas en clair, le hacker pourra, en ayant recours aux outils appropriés, décrypter bon nombre d'entre eux en un temps relativement court.
De surcroît, le problème ne se limite pas au compte LinkedIn des utilisateurs concernés. En effet, les utilisateurs se servent souvent du même mot de passe (et aussi de la même adresse e-mail) sur différents services. Les mots de passe collectés sur LinkedIn pourraient potentiellement ouvrir l'accès à d'autres comptes (e-mail, Facebook, banque en ligne, ...).
Conclusion
LinkedIn a commis une double faute.
La première, laisser un attaquant s'introduire dans son système. La deuxième,
stocker les mots de passe sans sel ! Si aucun système n'est à l’abri de la
première faute, la deuxième est impardonnable puisqu'il s'agit de l'omission
d'une des règles élémentaires de la sécurité informatique. Cette erreur est d’autant plus grave que le décryptage des mots de
passe LinkedIn met en cause la sécurité des données privées sur de nombreux
autres réseaux sociaux et services en ligne (notamment les plus risqués comme
les bancaires en ligne et les boîtes mail personnelles), sur lesquels les
internautes utilisent des mots de passe et adresses email identiques.
II - LinkedIn collecte des données en provenance des agendas iOS et Androïd
1 - Décryptage
Une équipe de chercheurs israéliens a découvert que l'application LinkedIn sur Androïd et iOS collectait le contenu des calendriers des utilisateurs, et l'envoyait aux serveurs de LinkedIn. Les informations collectées comprenaient l'objet des réunions, la date et l'heure, le nom et les e-mails des participants ainsi que les éventuelles notes.
Ces informations, potentiellement
sensibles, sont collectées et transmises sans demander la permission ni en
avoir clairement informé l'utilisateur. Cette fonctionnalité avait à la base
comme objectif de faciliter les interactions entre les participants et
utilisateurs de LinkedIn.
LinkedIn a réagi en expliquant la
motivation de ce transfert de données et a insisté sur le fait qu'elles
n'étaient pas stockées sur leurs serveurs (i.e. elles sont effacées après le
traitement). LinkedIn n'avait vraisemblablement pas d'intentions malicieuses
ici, il s'agissait d'améliorer le service fourni à l'utilisateur.
2 - Conclusion
LinkedIn a été maladroit, et aurait dû être plus clair sur les opérations effectuées par son application. Cela ressemble assez au cas d'Apple qui stockait et transmettait des coordonnées de géolocalisation des utilisateurs d'iPhones. Même si l’erreur sera rapide à corriger, le fait que LinkedIn ait collecté des informations potentiellement sensibles (commentaires, n° de conf call confidentiels, etc.) pose plus largement la question de la frontière floue entre les données que les individus autorisent un réseau à collecter (cf. données privées sur Facebook) et celles qu’ils n’ont pas conscience de donner (cas LinkedIn).
Mathieu Cunche est chercheur post-doctorant. Il est membre de l’équipe Planète (Sécurité et Vie privée sur Internet) d’Inria-Rhône-Alpes.