LinkedIn : faille dans le cookie ?

Le par  |  0 commentaire(s)
LinkedIn Logo pro

Selon un chercheur en sécurité indien, le réseau social LinkedIn dédié aux professionnels souffre d'une vulnérabilité de sécurité permettant le détournement de comptes.

LinkedIn Logo proForcément, c'est une affirmation qui ne passe pas inaperçue. Rishi Narang fait en effet part de sa trouvaille alors que LinkedIn vient de réussir une entrée très remarquée en Bourse.

D'après le chercheur en sécurité indépendant, LinkedIn conserve les cookies de connexion actifs pendant bien trop longtemps. L'occasion pour des cybercriminels qui mettent la main dessus de détourner un compte utilisateur.

Un tel cookie de connexion est émis après saisie par l'utilisateur de son identifiant et mot de passe, et stocké sur sa machine. Il sert ainsi de clé pour accéder au compte. " Il existe de multiples vulnérabilités dans LinkedIn dans la manière dont sont traités et transmis les cookies à travers SSL ", avance Rishi Narang, d'autant plus inquiet que selon lui un cookie de connexion pour LinkedIn n'expire pas avant un délai d'un an.

Dans un communiqué relayé par Reuters, LinkedIn a déclaré prendre en charge le protocole SSL pour le chiffrement de certaines données sensibles dont la connexion à un compte. Néanmoins, ce n'est visiblement pas le cas des cookies de connexion. " Dans les prochains mois ", LinkedIn devrait pallier ce problème grâce à une option SSL ( par par défaut ) plus complète. Par contre, pas un mot sur la durée de conservation d'un an.

Une affaire qui n'est pas loin de rappeler les lacunes de certains sites qu'un développeur avait pointé du doigt en concevant l'extension Firesheep pour Firefox.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]