Piratage chez LinkedIn : tout savoir sur les failles exploitées

Analyse en détails de la faille du réseau social qui a permis à un pirate d'obtenir une liste de 6,5 millions de mots de passe. LinkedIn a commis une double faute.


I - Vol de mots de passe LinkedIn

Décryptage
Un pirate informatique a réussi à s'introduire dans les serveurs de LinkedIn et à en extraire des informations. Pour le prouver, il a publié une liste contenant 6,5 millions de mots de passe d'utilisateurs de LinkedIn. Si les attaques de pirates informatiques sont fréquentes, c’est la première fois qu’un réseau social de cette ampleur (160 millions d’utilisateurs, et donc potentiellement 160 millions de mots de passe volés) en fait l’objet.

A la base, les mots de passe stockés par  LinkedIn ne sont pas en clair. Ils sont en effet stockés sous forme de hash. Un hash est une fonction à sens unique : connaissant le mot de passe, il est facile de calculer son hash; mais connaissant le hash, il est extrêmement difficile de retrouver le mot de passe. L'utilisation de hash est courante pour stocker les mots de passe de manière sécurisée. En effet, lorsque l'utilisateur rentre son mot de passe, il suffit de calculer le hash, et de vérifier qu'il correspond bien au hash stocké dans le système. En cas d'intrusion, comme c'est le cas ici, le pirate informatique n'aura pas accès aux mots de passe, mais à leur version chiffrée.

Le hash est censé rendre la récupération des mots de passe impossible. Nous sommes donc sauvés ?... Eh bien non. Il existe des méthodes pour retrouver les mots de passe assez rapidement en utilisant une technique de compromis temps/mémoire. Ce type d'attaque est connu depuis longtemps, et une contre-mesure simple et efficace est disponible. Elle consiste à saler le hash, c'est à dire ajouter un élément aléatoire qu'un attaquant ne peut pas prévoir par avance.

Malheureusement, cette précaution simple n'a pas été mise en place par LinkedIn. Ce qui signifie que même si les mots de passe volés n’étaient pas en clair, le hacker pourra, en ayant recours aux  outils appropriés, décrypter bon nombre d'entre eux en un temps relativement court.

De surcroît, le problème ne se limite pas au compte LinkedIn des utilisateurs concernés. En effet, les utilisateurs se servent souvent du même mot de passe (et aussi de la même adresse e-mail) sur différents services. Les mots de passe collectés sur LinkedIn pourraient potentiellement ouvrir l'accès à d'autres comptes (e-mail, Facebook, banque en ligne, ...).

Conclusion
LinkedIn a commis une double faute. La première, laisser un attaquant s'introduire dans son système. La deuxième, stocker les mots de passe sans sel ! Si aucun système n'est à l’abri de la première faute, la deuxième est impardonnable puisqu'il s'agit de l'omission d'une des règles élémentaires de la sécurité informatique. Cette erreur est d’autant plus grave que le décryptage des mots de passe LinkedIn met en cause la sécurité des données privées sur de nombreux autres réseaux sociaux et services en ligne (notamment les plus risqués comme les bancaires en ligne et les boîtes mail personnelles), sur lesquels les internautes utilisent des mots de passe et adresses email identiques.


II - LinkedIn collecte des données en provenance des agendas iOS et Androïd

1 - Décryptage
Une équipe de chercheurs israéliens a découvert que l'application LinkedIn sur Androïd et iOS collectait le contenu des calendriers des utilisateurs, et l'envoyait aux serveurs de LinkedIn. Les informations collectées comprenaient l'objet des réunions, la date et l'heure, le nom et les e-mails des participants ainsi que les  éventuelles notes.

Ces informations, potentiellement sensibles, sont collectées et transmises sans demander la permission ni en avoir clairement informé l'utilisateur. Cette fonctionnalité avait à la base comme objectif de faciliter les interactions entre les participants et utilisateurs de LinkedIn.

LinkedIn a réagi en expliquant la motivation de ce transfert de données et a insisté sur le fait qu'elles n'étaient pas stockées sur leurs serveurs (i.e. elles sont effacées après le traitement). LinkedIn n'avait vraisemblablement pas d'intentions malicieuses ici, il s'agissait d'améliorer le service fourni à l'utilisateur.

2 - Conclusion
LinkedIn a été maladroit, et aurait dû être plus clair sur les opérations effectuées par son application. Cela ressemble assez au cas d'Apple qui stockait et transmettait des coordonnées de géolocalisation des utilisateurs d'iPhones. Même si l’erreur sera rapide à corriger, le fait que LinkedIn ait collecté des informations potentiellement sensibles (commentaires, n° de conf call confidentiels, etc.) pose plus largement la question de la frontière floue entre les données que les individus autorisent un réseau à collecter (cf. données privées sur Facebook) et celles qu’ils n’ont pas conscience de donner (cas LinkedIn).


Mathieu Cunche est chercheur post-doctorant. Il est membre de l’équipe Planète (Sécurité et Vie privée sur Internet) d’Inria-Rhône-Alpes.