Vie privée : Un trou dans le cookie de Linked-In

Ecrit par Protéger Son Image le 17 juin 2011
Sécurité | Vie privée 0 commentaire

Après Facebook, c’est au tour du réseau social professionnel Linked In d’être montré du doigt pour la faiblesse de ses protections. Suite à des informations circulant en ligne depuis le 22 mai 2011, il semblerait qu’il soit simplissime d’accéder aux données personnelles d’un compte dont on n’est pas propriétaire.

Rishi Narang est un chercheur en sécurité réputé pour son sérieux. Et même s’il travaille pour un site ayant un nom un brin potache, Wtfuzz (pour What the Fuzz, faisant référence à l’exclamation What The F….) ses derniers travaux ont fait beaucoup de bruit. Il aurait trouvé le moyen de pénétrer le compte de n’importe quel utilisateur de LinkedIn. Comment ? Paradoxalement, grâce au système d’authentification du site. Plus précisément à cause d’une faille dans le moyen de reconnaissance des utilisateurs, le cookie. Quand un usager entre son nom et son mot de passe, LinkedIn crée et envoie un cookie appelé « LEO_AUTH_TOKEN » à l’ordinateur de ce dernier pour accéder à son compte.

Contrairement à ce qui se pratique en général sur les sites commerciaux, où ce fichier expire au bout de 24 heures, LinkedIn lui a attribué une durée est d’un an. Conséquence, il suffit qu’un individu malveillant s’en empare pour se connecter à un compte d’utilisateur pendant toute la durée de validité du cookie. De nombreuses vidéo expliquant le procédé, circulent d’ores et déjà sur la toile. http://www.youtube.com/watch?v=ZgNKoplI7gc

« En seulement 15 minutes j’ai pu accéder à plusieurs comptes actifs appartenant à des personnes situées dans différentes zones géographiques », s’étonne encore  le chercheur. Plus grave, il précise que cette manipulation fonctionne même si l’internaute procède à un changement de mot de passe.

Cette information tombe à un moment délicat pour LinkedIn : le réseau social professionnel au 100 million de membres vient de faire une entrée remarquée à Wall Street avec des premières séances de cotations très favorables (introduit à 45$, le titre flirtait avec les 100$ après une seule séance).

La société tente de rassurer ses clients et actionnaires : « LinkedIn prend la confidentialité et la sécurité de nos membres au sérieux ». Un système sécurisé (SSL) est d’ores et déjà utilisé pour crypter les données sensibles comme les connexions au compte. Et la société prépare « une option qui chiffrera entièrement ses cookies dans les prochains mois. ». Dans l’attente, même si la menace est avérée, elle reste compliquée à mettre en œuvre, car elle nécessite avant toute chose, que le pirate souhaitant pirater votre compte, pénètre d’abord vos cookies, stockés sur votre ordinateur. Démarche qui nécessite une certaine expertise et volonté ciblée de nuire à un utilisateur en particulier. Comme souvent, l’anonymat de la foule numérique reste la meilleure protection.