Et avec le succès viennent les attaques… LinkedIn est à peine entré en Bourse qu’un spécialiste en sécurité vient de trouver une faille importante de sécurité lors de la connexion au réseau social professionnel.
Rishi Narang, un chercheur et consultant en sécurité basé à Los Angeles, a indiqué sur son blog avoir trouvé « une multitude de problèmes dans la façon dont LinkedIn gère les cookies », et ajoute que ces failles « peuvent mener au piratage ou à la modification du compte. »
Par le biais de vidéos explicatives, l’analyste montre que si la connexion à LinkedIn est opérée via le protocole sécurisé HTTPS, l’internaute est ensuite redirigé vers une connexion HTTP standard. Ce serait la page d’accueil de l’utilisateur qui serait chargée de transmettre les cookies contenant ces informations d’identification.
Ces cookies sont donc transmis en clair et peuvent être récupérés à partir des options du navigateur. Par ailleurs, ces petits fichiers seraient toujours valides même lorsque l’utilisateur se déconnecte du réseau. « En seulement 15 minutes j’ai pu accéder à plusieurs comptes actifs appartenant à des personnes situées dans différentes parties du monde », précise le chercheur. Il précise que cette manipulation fonctionne même si l’internaute opère un changement de mot de passe.
Le seul cas de figure rendant les cookies inefficaces consiste à fermer son compte LinkedIn et à le rouvrir avec la même adresse e-mail de souscription. Une méthode importante puisqu’il faudrait alors inviter encore une fois l’ensemble de ses contacts…
Un coup dur pour LinkedIn, dont le site est utilisé pour pour booster son réseau professionnel par plus de 100 millions de membres. « Les utilisateurs doivent limiter leur fréquentation du site si ils ne sont pas connectés à des réseaux Wi-Fi protégés par mot de passe », conseille le consultant.
Contacté par The Register, un porte-parole de LinkedIn explique que le réseau social pour les professionnels envisage d’inciter les internautes à activer la connexion sécurisée HTTPS tout le long de leur session.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…