Détection d'une faille de sécurité jugée comme critique sur le réseau communautaire professionnel Linkedin. Les membres du réseau sont vulnérables à des détournements de comptes.
Un expert en sécurité informatique indien, Rishi Narang, révèle sur son blog qu'il a réussi à accéder, sur le réseau social Linkedin, à des comptes utilisateurs en téléchargeant leurs cookies de connexion.
Dès que le membre du réseau se connecte à son compte, le système d'authentification de LinkedIn créer un cookie "LEO_AUTH_TOKEN" stocké sur l’ordinateur de l'internaute servant de clé pour accéder à son compte.
Rishi Narang pointe du doigt la mauvaise gestion des cookies sur LinkedIn, ce dernier conserverait trop longtemps les identifiants de ses membres (login et mot de passe utilisateur) puisque les cookies de connexion auraient une durée de vie d'un an.
LindedIn a déclaré à Reuters que le protocole de chiffrement SSl (HTTPS) fonctionne lors de la connexion à un compte utilisateur et qu'il allait prochainement adapter la procédure SSl pour sécuriser les cookies de connexion.
Voici une vidéo de demonstration de la faille
Voilà une affaire qui tombe mal pour le réseau qui a fait une entrée remarquable, jeudi dernier, à la Bourse de New York. L'action est passée lors de son introduction de 45 dollars à plus
de 90 dollars l'action.
Cette faille va-t-elle faire chuter les actions de LinkedIn ?
Source : Blog wtfuzz - Reuters
pwait 31/05/2011