Sécurité : une faille importante a été décelée sur LinkedIn
Un chercheur indépendant vient de trouver une faille de sécurité importante dans le système de connexion à LinkedIn pouvant potentiellement engendrer le vol ou la modification de compte, au nez et à la barbe des utilisateurs.
Et avec le succès viennent les attaques… LinkedIn est à peine entré en Bourse qu’un spécialiste en sécurité vient de trouver une faille importante de sécurité lors de la connexion au réseau social professionnel.
Rishi Narang, un chercheur et consultant en sécurité basé à Los Angeles, a indiqué sur son blog avoir trouvé « une multitude de problèmes dans la façon dont LinkedIn gère les cookies », et ajoute que ces failles « peuvent mener au piratage ou à la modification du compte. »
Par le biais de vidéos explicatives, l’analyste montre que si la connexion à LinkedIn est opérée via le protocole sécurisé HTTPS, l’internaute est ensuite redirigé vers une connexion HTTP standard. Ce serait la page d’accueil de l’utilisateur qui serait chargée de transmettre les cookies contenant ces informations d’identification.
Ces cookies sont donc transmis en clair et peuvent être récupérés à partir des options du navigateur. Par ailleurs, ces petits fichiers seraient toujours valides même lorsque l’utilisateur se déconnecte du réseau. « En seulement 15 minutes j’ai pu accéder à plusieurs comptes actifs appartenant à des personnes situées dans différentes parties du monde », précise le chercheur. Il précise que cette manipulation fonctionne même si l’internaute opère un changement de mot de passe.
Le seul cas de figure rendant les cookies inefficaces consiste à fermer son compte LinkedIn et à le rouvrir avec la même adresse e-mail de souscription. Une méthode importante puisqu’il faudrait alors inviter encore une fois l’ensemble de ses contacts…
Un coup dur pour LinkedIn, dont le site est utilisé pour pour booster son réseau professionnel par plus de 100 millions de membres. « Les utilisateurs doivent limiter leur fréquentation du site si ils ne sont pas connectés à des réseaux Wi-Fi protégés par mot de passe », conseille le consultant.
Contacté par The Register, un porte-parole de LinkedIn explique que le réseau social pour les professionnels envisage d’inciter les internautes à activer la connexion sécurisée HTTPS tout le long de leur session.