D'après le chercheur en sécurité indépendant, LinkedIn conserve les cookies de connexion actifs pendant bien trop longtemps. L'occasion pour des cybercriminels qui mettent la main dessus de détourner un compte utilisateur.
Un tel cookie de connexion est émis après saisie par l'utilisateur de son identifiant et mot de passe, et stocké sur sa machine. Il sert ainsi de clé pour accéder au compte. " Il existe de multiples vulnérabilités dans LinkedIn dans la manière dont sont traités et transmis les cookies à travers SSL ", avance Rishi Narang, d'autant plus inquiet que selon lui un cookie de connexion pour LinkedIn n'expire pas avant un délai d'un an.
Dans un communiqué relayé par Reuters, LinkedIn a déclaré prendre en charge le protocole SSL pour le chiffrement de certaines données sensibles dont la connexion à un compte. Néanmoins, ce n'est visiblement pas le cas des cookies de connexion. " Dans les prochains mois ", LinkedIn devrait pallier ce problème grâce à une option SSL ( par par défaut ) plus complète. Par contre, pas un mot sur la durée de conservation d'un an.
Une affaire qui n'est pas loin de rappeler les lacunes de certains sites qu'un développeur avait pointé du doigt en concevant l'extension Firesheep pour Firefox.
Publié le
par Jérôme G.
Journaliste GNT spécialisé en nouvelles technologies
Sur le même sujet
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.