Et avec le succès viennent les attaques… LinkedIn est à peine entré en Bourse qu’un spécialiste en sécurité vient de trouver une faille importante de sécurité lors de la connexion au réseau social professionnel.
Rishi Narang, un chercheur et consultant en sécurité basé à Los Angeles, a indiqué sur son blog avoir trouvé « une multitude de problèmes dans la façon dont LinkedIn gère les cookies », et ajoute que ces failles « peuvent mener au piratage ou à la modification du compte. »
Par le biais de vidéos explicatives, l’analyste montre que si la connexion à LinkedIn est opérée via le protocole sécurisé HTTPS, l’internaute est ensuite redirigé vers une connexion HTTP standard. Ce serait la page d’accueil de l’utilisateur qui serait chargée de transmettre les cookies contenant ces informations d’identification.
Ces cookies sont donc transmis en clair et peuvent être récupérés à partir des options du navigateur. Par ailleurs, ces petits fichiers seraient toujours valides même lorsque l’utilisateur se déconnecte du réseau. « En seulement 15 minutes j’ai pu accéder à plusieurs comptes actifs appartenant à des personnes situées dans différentes parties du monde », précise le chercheur. Il précise que cette manipulation fonctionne même si l’internaute opère un changement de mot de passe.
Le seul cas de figure rendant les cookies inefficaces consiste à fermer son compte LinkedIn et à le rouvrir avec la même adresse e-mail de souscription. Une méthode importante puisqu’il faudrait alors inviter encore une fois l’ensemble de ses contacts…
Un coup dur pour LinkedIn, dont le site est utilisé pour pour booster son réseau professionnel par plus de 100 millions de membres. « Les utilisateurs doivent limiter leur fréquentation du site si ils ne sont pas connectés à des réseaux Wi-Fi protégés par mot de passe », conseille le consultant.
Contacté par The Register, un porte-parole de LinkedIn explique que le réseau social pour les professionnels envisage d’inciter les internautes à activer la connexion sécurisée HTTPS tout le long de leur session.
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…