La « social network community » est au bord de la crise de nerfs après l’annonce du vol de plus de 6,5 millions de hash de mots de passe LinkedIn *. Ai-je été piraté ? A cette question, la réponse est simple pour un informaticien normalement constitué, mais quasiment insurmontable pour un individu normalement constitué.
1 : télécharger le fichier contenant les hash publiés sur Internet (disk.yandex.ru fut, par exemple, l’un des repository possible). L’on peut faire confiance au dépôt hébergé par exemple sur le site Tux Planet et lire au passage l’intéressante analyse rédigée par Sébastien Bilbeau.
2 :calculer le hash « chahouanne » de son propre mot de passe sur l’un des nombreux sites que l’on trouve sur internet
3 : rechercher les 25 ou 30 derniers caractères de la chaine dans ledit fichier (partie droite du « magic number »)
A ce stade, deux options : Soit la recherche n’a rien donné et l’on se précipite sur le site LinkedIn pour changer son Sésame, soit la portion de hash est contenue dans ledit fichier… et là , on a toutes les raisons de s’inquiéter. Surtout si une partie du hash débute par 00000, ce qui laisserait entendre que ledit hash a été « bruteforcé » par des amateurs de mots de passe. Toutes les raisons de s’inquiéter car, bien que le contenu de ce que l’on confie aux réseaux sociaux soit d’une importance très relative, nombreux sont les internautes qui utilisent un nombre restreint de mots de passe pour accéder à différents comptes et accès en ligne.
Pour peu, l’on pourrait croire à une opération marketing vantant les mérites de cet indispensable utilitaire Open Source qu’est PasswordSafe, initialement développé par Bruce Schneier.
Cette alerte nous donne également l’occasion pour signaler une très nette recrudescence de « fausses notifications » Facebook ou Linkedin, qui reprennent très exactement la forme des messages automatiques diffusés par ces réseaux sociaux. Une vaste majorité de ces faux ne servent qu’à diriger la victime vers un site de vente de pilules fortifiantes de couleur bleu, mais quelques-uns aboutissent réellement vers une imitation de page de login. La perfection de ces notifications est telle qu’il est très difficile d’y déceler la « patte » d’un flibustier du phishing (url frelatée mise à part).
Mais plus que cette presque banale affaire de fuite d’identité, c’est la remise en cause du mécanisme de chiffrement MD5 qui est avancé. L’un de ses papas, Poul-Henning Kamp, l’écrit d’ailleurs en toutes lettres sur une page du site Danois FreeBSD. D’un autre côté, Sean, du blog F-Secure, y va d’un article de vulgarisation compréhensible même par un journaliste, c’est dire, et intitulé Are you sure SHA-1+salt is enough for passwords? . On peut faire abstraction des passages réservés aux matheux, et l’on comprend très vite que la réponse est « non ». Mais à quoi sert ce genre de certitude, alors que personne n’est maître de mécanismes de sécurisation installés dans ces fameux réseaux sociaux ? Dans certains cas, la conscience du danger doit laisser place à un certain fatalisme… ou inciter à la non-fréquentation des sites en question.
Signalons au passage qu’un site de rencontre, e-Harmony, aurait été piraté par la même équipe, nous apprend le Los Angeles Times, affichant au grand jour les cœurs et les mots de passe de plus d’un million et demi de célibataires (ou prétendant l’être) et le service de radiodiffusion et de musique en ligne LastFM demande à ses usagers de changer le plus vite possible leurs crédences, pour des raisons semblables. Les hacks se suivent et se ressemblent. Les moins chanceux sont, bien entendu, les célibataires mélomanes inscrits sur LinkedIn.
NdT Note du Traducteur : On appréciera au passage l’impressionnant euphémisme utilisé par Vicente Silveira, qui écrit «some of the passwords that were compromised correspond to LinkedIn accounts ». L’usage du terme « Some » pour qualifier 6,5 millions de mots de passe est la preuve que la langue anglaise est la langue maternelle de l’Understatement.