Et avec le succès viennent les attaques… LinkedIn est à peine entré en Bourse qu’un spécialiste en sécurité vient de trouver une faille importante de sécurité lors de la connexion au réseau social professionnel.
Rishi Narang, un chercheur et consultant en sécurité basé à Los Angeles, a indiqué sur son blog avoir trouvé « une multitude de problèmes dans la façon dont LinkedIn gère les cookies », et ajoute que ces failles « peuvent mener au piratage ou à la modification du compte. »
Par le biais de vidéos explicatives, l’analyste montre que si la connexion à LinkedIn est opérée via le protocole sécurisé HTTPS, l’internaute est ensuite redirigé vers une connexion HTTP standard. Ce serait la page d’accueil de l’utilisateur qui serait chargée de transmettre les cookies contenant ces informations d’identification.
Ces cookies sont donc transmis en clair et peuvent être récupérés à partir des options du navigateur. Par ailleurs, ces petits fichiers seraient toujours valides même lorsque l’utilisateur se déconnecte du réseau. « En seulement 15 minutes j’ai pu accéder à plusieurs comptes actifs appartenant à des personnes situées dans différentes parties du monde », précise le chercheur. Il précise que cette manipulation fonctionne même si l’internaute opère un changement de mot de passe.
Le seul cas de figure rendant les cookies inefficaces consiste à fermer son compte LinkedIn et à le rouvrir avec la même adresse e-mail de souscription. Une méthode importante puisqu’il faudrait alors inviter encore une fois l’ensemble de ses contacts…
Un coup dur pour LinkedIn, dont le site est utilisé pour pour booster son réseau professionnel par plus de 100 millions de membres. « Les utilisateurs doivent limiter leur fréquentation du site si ils ne sont pas connectés à des réseaux Wi-Fi protégés par mot de passe », conseille le consultant.
Contacté par The Register, un porte-parole de LinkedIn explique que le réseau social pour les professionnels envisage d’inciter les internautes à activer la connexion sécurisée HTTPS tout le long de leur session.
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…
Au CES 2025, les principaux constructeurs ont annoncé l'arrivée des ordinateurs de bureau dotés de…
