Alors que le réseau communautaire LinkedIn a fait son entrée en bourse la semaine dernière, un chercheur indépendant vient de trouver une faille de sécurité jugée très importante.
Le chercheur Rishi Narang, spécialisé dans la sécurité Internet, annonce via son blog avoir trouvé une faille de sécurité relativement importante touchant le réseau social professionnel LinkedIn. Il explique que si la connexion au site est opérée via le protocole sécurisé HTTPS, l'internaute est ensuite redirigé vers une connexion HTTP standard. Or ce serait précisément la page d'accueil de l'utilisateur qui serait chargée de transmettre les cookies contenant le jeton d'authentification et les informations d'identification.
Ces cookies sont donc transmis en clair et peuvent être récupérés via les options du navigateur. « Une personne malintentionnée peut effectuer une attaque de type Man in The Middle et récupérer ces cookies après une session sur LinkedIn », déclare M. Narang. Par ailleurs, ces petits fichiers seraient toujours valides même lorsque l'utilisateur se déconnecte du réseau. « En seulement 15 minutes j'ai pu accédé à plusieurs comptes actifs appartenant à des personnes situées dans différentes zones géographiques », explique le chercheur. Il précise que cette manipulation fonctionne même si l'internaute procède à un changement de mot de passe.
Finalement le seul cas de figure rendant les cookies inopérants vise à fermer son compte LinkedIn et à le ré-ouvrir avec la même adresse email de souscription... une méthode relativement lourde puisqu'il faudrait alors ré-inviter l'ensemble de ses contacts... Contacté par le magazine The Register un porte-parole de LinkedIn explique que la société envisage de proposer aux internautes d'activer la connexion HTTPS tout le temps de leur session.
Voici le détail en vidéo de la manipulation :