Âgé de 32 ans, Yevgeniy Nikulin a été condamné le mois dernier aux États-Unis à une peine de 88 mois de prison pour le piratage de LinkedIn, Dropbox, ainsi que du réseau social Fromspring qui n'existe plus aujourd'hui.

Ce ressortissant russe avait été arrêté à Prague en République tchèque en octobre 2016, puis extradé aux États-Unis en mars 2018. Les faits reprochés remontent à 2012. Il était notamment parvenu à dérober les données de 117 millions d'utilisateurs de LinkedIn et 68 millions d'utilisateurs de Dropbox.

La justice américaine a également estimé que Automattic, la maison-mère de Wordpress.com, a été une victime des intrusions informatiques de Yevgeniy Nikulin, même s'il n'a pas été établi qu'il avait volé des identifiants d'utilisateurs.

Hacker

Le cas de LinkedIn avait été largement médiatisé et la fuite de données avait fait l'objet d'un commerce sur le marché noir, poussant LinkedIn à réinitialiser tous les mots de passe d'avant la brèche de 2012.

Alors qu'il était à Moscou, Yevgeniy Nikulin avait piraté l'ordinateur d'un employé de LinkedIn dans la région de la baie de San Franciso. En y installant un malware, il a pu en prendre le contrôle à distance et a utilisé les identifiants de l'employé pour accéder au réseau VPN de LinkedIn. Il a ensuite volé une base de données comprenant des informations de connexion d'utilisateurs de LinkedIn, dont des mots de passe chiffrés.

Il s'avère qu'à l'époque, LinkedIn n'avait pas été très regardant sur les standards de sécurité, avec notamment un hash de type SHA-1 obsolète et sans salage visant à renforcer le chiffrement.