8 septembre 2024

Une faille de sécurité repérée sur LinkedIn

Un chercheur en sécurité a découvert que le réseau social professionnel génère des cookies d’accès aux comptes utilisateurs qui restent valides pendant un an. Une faille de sécurité dans le système d’authentification de LinkedIn peut potentiellement exposer ses utilisateurs. C’est ce qu’a révélé un chercheur en sécurité indien selon lequel un pirate pourrait exploiter cette vulnérabilité pour accéder au compte personnel de n’importe quel membre. Le problème se situe au niveau du système d’authentification. Lorsqu’un usager se connecte à son compte, LinkedIn créé alors un cookie « LEO_AUTH_TOKEN » qu’il envoie sur l’ordinateur de ce dernier pour lui ouvrir l’accès. Or ce cookie n’expire qu’au bout d’un an. Ce qui signifie qu’un pirate qui parviendrait à s’emparer de ces cookies pourrait se connecter à loisir aux comptes des membres pendant toute la durée de validité. LinkedIn a indiqué à Reuters qu’il proposait déjà le cryptage SSL de certaines données utilisateurs et qu’il travaillait sur une nouvelle option SSL qui couvrira les cookies de log-in. Elle sera disponible dans les « prochains mois ».

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *