LinkedIn malgré ses défaillances lors du vol de mots de passe risque peu en justice

le 30/06/2012, par Jean Pierre Blettner avec IDG News Service, Régulation télécoms, 685 mots

LinkedIn fait face à une coûteuse bataille judiciaire suite à la publication de 6,5 millions de mots de passe sur un site de hackers. Malgré ses défaillances avérées, le réseau social ne devrait toutefois pas devoir payer d'indemnités élevées car les juges exigent la preuve qu'un véritable préjudice a été commis.

LinkedIn malgré ses défaillances lors du vol de mots de passe risque peu en justice

Le site de réseau social professionnel Linkedin fait face une poursuite judiciaire qui devrait lui coûter plus de 5 millions de dollars à la suite de la brèche massive qui a abouti à la publication de 6,5 millions de mots de passe sur un site web russe de hackers.

LinkedIn devrait gagner cette bataille mais elle devrait lui coûter cher en frais d'avocats. A moins que la poursuite, qui est menée par Katie Szpyrka, avec des millions d'autres plaignants potentiels ne fasse l'objet d'un accord rapide et discret.

Sinon, LinkedIn risque de se retrouver régulièrement sous les feux de l'actualité, pour des mois et des années, ce qui n'est jamais bon pour l'image d'une marque.  Les mots de passe postés sur le site russe avaient été aisément déchiffrés, car LinkedIn emploie un algorithme de hashing rudimentaire, qui est loin des standards de l'industrie actuels.

Et c'est cette faiblesse du chiffrement qui est citée de manière répétée dans la poursuite légale au travers de sept accusations, dont la violation du code professionnel et business de la Californie, violation du code civil de la Californie, rupture de contrat, rupture de l'alliance implicite de la bonne foi et de la loyauté, la rupture des contrats implicites, négligence et négligence en soi.

Katie Szpyrka apparaît sur Linkedin comme une associée senior des bureaux de Chicago de UGL Equis, un agent immobilier spécialisé sur les entreprises. Elle est représentée par Sean P. Reis de Edelson McGuire LLP, une firme juridique de Rancho Santa Margarita, en Californie. La plainte cherche à être certifiée comme action de groupe menée au titre des tous les utilisateurs de Linkedin dont les données ont été dérobées.

Photo : Katie Szpyrka apparaît sur Linkedin comme une associée senior des bureaux de Chicago de UGL Equis.





La poursuite ne fait allusion à aucune violation de loi spécifique liée à la cybersecurité, mais souligne que la société a violé sa propre politique de confidentialité. Celle-ci affirme que la société « protège les données sensibles de ses utilisateurs, les informations personnellement identifiables, spécifiquement toute information que vous fournissez sera protégée avec la technologie et les protocoles standard de l'industrie. »

De son propre aveu, LinkedIn n'était pas en conformité avec le standard de l'industrie, qui est le fait de mêler les usages du hashing. On fusionne les mots de passe une fois hashés, avec une autre combinaison, et on les hashe une seconde fois. Selon la porte parole de LinkedIn, Erin O'Harra : "aucun compte de nos membres n'a été piraté suite à cet incident, et nous n'avons aucune raison de penser que des membres de LinkedIn ait subi des dommages. Dès lors, il apparaît que ces menaces sont menées par des avocats qui veulent profiter de la situation."  

Que risque réellement LinkedIn ? A priori pas grand-chose, car les tribunaux ont jusqu'à présent refusé de dédommager des plaignants qui ne peuvent pas réellement faire la preuve de dommages réels. Les juges américains seraient conscients qu'il est impossible d'assurer 100% de sécurité sur internet à cause de l'évolution rapide des attaques.

La plainte contre LinkedIn s'emploie à montrer que des dommages réels ont été causés, en argumentant que « le plaignant et les participants à l'action de groupe ... ont perdu de l'argent sous la forme de la valeur de leurs données personnelles. Ils ont perdu leur propriété, ces données personnelles ayant une grande valeur pour LinkedIn, les publicitaires, et les hackers. Les membres de l'action ont perdu de l'argent sous la forme de leurs abonnements mensuels. »



De plus, la plainte souligne que "les données personnelles ont une valeur véritable qui sera prouvée lors du procès. » Les juges américains devraient évoluer toutefois en prenant conscience que des dégâts collatéraux peuvent intervenir. Par exemple, les utilisateurs de LinkedIn ont pu employer le même mot de passe pour d'autres comptes, bancaires notamment, même si la pratique est fortement déconseillée. 

La résilience des réseaux FFTH inquiète les entreprises

Une étude réalisée par InfraNum, en partenariat avec la Banque des Territoires, s'est penchée sur la résilience des infrastructures numériques FttH (Fiber to the Home) sur le territoire français. Celle-ci met...

le 25/07/2023, par Aurélie Chandèze, 696 mots

Le projet de financement du déploiement de la 5G par les grandes...

Plusieurs pays européens n'adhèrent pas à l'idée de faire financer l'expansion de la 5G et du haut débit en Europe par les grandes entreprises technologiques à l'origine d'un trafic Internet important. Les...

le 06/06/2023, par Charlotte Trueman, IDG NS (adaptation Jean Elyan), 441 mots

La régulation d'Internet redevient une priorité gouvernementale

Afin de « progresser dans une société numériquement plus sûre », Jean-Noël Barrot, ministre délégué chargé de la transition numérique et des télécommunications présente aujourd'hui en Conseil des ministres un...

le 10/05/2023, par Célia Séramour, 1174 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...