LinkedIn malgré ses défaillances lors du vol de mots de passe risque peu en justice
LinkedIn fait face à une coûteuse bataille judiciaire suite à la publication de 6,5 millions de mots de passe sur un site de hackers. Malgré ses défaillances avérées, le réseau social ne devrait toutefois pas devoir payer d'indemnités élevées car les juges exigent la preuve qu'un véritable préjudice a été commis.
Le site de réseau social professionnel Linkedin fait face une poursuite judiciaire qui devrait lui coûter plus de 5 millions de dollars à la suite de la brèche massive qui a abouti à la publication de 6,5 millions de mots de passe sur un site web russe de hackers.
LinkedIn devrait gagner cette bataille mais elle devrait lui coûter cher en frais d'avocats. A moins que la poursuite, qui est menée par Katie Szpyrka, avec des millions d'autres plaignants potentiels ne fasse l'objet d'un accord rapide et discret.
Sinon, LinkedIn risque de se retrouver régulièrement sous les feux de l'actualité, pour des mois et des années, ce qui n'est jamais bon pour l'image d'une marque. Les mots de passe postés sur le site russe avaient été aisément déchiffrés, car LinkedIn emploie un algorithme de hashing rudimentaire, qui est loin des standards de l'industrie actuels.
Et c'est cette faiblesse du chiffrement qui est citée de manière répétée dans la poursuite légale au travers de sept accusations, dont la violation du code professionnel et business de la Californie, violation du code civil de la Californie, rupture de contrat, rupture de l'alliance implicite de la bonne foi et de la loyauté, la rupture des contrats implicites, négligence et négligence en soi.
Katie Szpyrka apparaît sur Linkedin comme une associée senior des bureaux de Chicago de UGL Equis, un agent immobilier spécialisé sur les entreprises. Elle est représentée par Sean P. Reis de Edelson McGuire LLP, une firme juridique de Rancho Santa Margarita, en Californie. La plainte cherche à être certifiée comme action de groupe menée au titre des tous les utilisateurs de Linkedin dont les données ont été dérobées.
Photo : Katie Szpyrka apparaît sur Linkedin comme une associée senior des bureaux de Chicago de UGL Equis.
La poursuite ne fait allusion à aucune violation de loi spécifique liée à la cybersecurité, mais souligne que la société a violé sa propre politique de confidentialité. Celle-ci affirme que la société « protège les données sensibles de ses utilisateurs, les informations personnellement identifiables, spécifiquement toute information que vous fournissez sera protégée avec la technologie et les protocoles standard de l'industrie. »
De son propre aveu, LinkedIn n'était pas en conformité avec le standard de l'industrie, qui est le fait de mêler les usages du hashing. On fusionne les mots de passe une fois hashés, avec une autre combinaison, et on les hashe une seconde fois. Selon la porte parole de LinkedIn, Erin O'Harra : "aucun compte de nos membres n'a été piraté suite à cet incident, et nous n'avons aucune raison de penser que des membres de LinkedIn ait subi des dommages. Dès lors, il apparaît que ces menaces sont menées par des avocats qui veulent profiter de la situation."
Que risque réellement LinkedIn ? A priori pas grand-chose, car les tribunaux ont jusqu'à présent refusé de dédommager des plaignants qui ne peuvent pas réellement faire la preuve de dommages réels. Les juges américains seraient conscients qu'il est impossible d'assurer 100% de sécurité sur internet à cause de l'évolution rapide des attaques.
La plainte contre LinkedIn s'emploie à montrer que des dommages réels ont été causés, en argumentant que « le plaignant et les participants à l'action de groupe ... ont perdu de l'argent sous la forme de la valeur de leurs données personnelles. Ils ont perdu leur propriété, ces données personnelles ayant une grande valeur pour LinkedIn, les publicitaires, et les hackers. Les membres de l'action ont perdu de l'argent sous la forme de leurs abonnements mensuels. »
De plus, la plainte souligne que "les données personnelles ont une valeur véritable qui sera prouvée lors du procès. » Les juges américains devraient évoluer toutefois en prenant conscience que des dégâts collatéraux peuvent intervenir. Par exemple, les utilisateurs de LinkedIn ont pu employer le même mot de passe pour d'autres comptes, bancaires notamment, même si la pratique est fortement déconseillée.