Une faille de sécurité repérée sur le réseau LinkedIn

Guillaume Belfiore
Par Guillaume Belfiore, Rédacteur en chef adjoint.
Publié le 23 mai 2011 à 17h12
0082000003750760-photo-linkedin-logo-sq-gb.jpg
Alors que le réseau communautaire LinkedIn a fait son entrée en bourse la semaine dernière, un chercheur indépendant vient de trouver une faille de sécurité jugée très importante.

Le chercheur Rishi Narang, spécialisé dans la sécurité Internet, annonce via son blog avoir trouvé une faille de sécurité relativement importante touchant le réseau social professionnel LinkedIn. Il explique que si la connexion au site est opérée via le protocole sécurisé HTTPS, l'internaute est ensuite redirigé vers une connexion HTTP standard. Or ce serait précisément la page d'accueil de l'utilisateur qui serait chargée de transmettre les cookies contenant le jeton d'authentification et les informations d'identification.

Ces cookies sont donc transmis en clair et peuvent être récupérés via les options du navigateur. « Une personne malintentionnée peut effectuer une attaque de type Man in The Middle et récupérer ces cookies après une session sur LinkedIn », déclare M. Narang. Par ailleurs, ces petits fichiers seraient toujours valides même lorsque l'utilisateur se déconnecte du réseau. « En seulement 15 minutes j'ai pu accédé à plusieurs comptes actifs appartenant à des personnes situées dans différentes zones géographiques », explique le chercheur. Il précise que cette manipulation fonctionne même si l'internaute procède à un changement de mot de passe.

Finalement le seul cas de figure rendant les cookies inopérants vise à fermer son compte LinkedIn et à le ré-ouvrir avec la même adresse email de souscription... une méthode relativement lourde puisqu'il faudrait alors ré-inviter l'ensemble de ses contacts... Contacté par le magazine The Register un porte-parole de LinkedIn explique que la société envisage de proposer aux internautes d'activer la connexion HTTPS tout le temps de leur session.

Voici le détail en vidéo de la manipulation :

Guillaume Belfiore
Rédacteur en chef adjoint
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles