lundi 23 avril 2018

LinkedIn corrige discrètement une faille qui exposait les données personnelles des utilisateurs

Tech Media News
Les acteurs du Web n’ont plus le droit à l’erreur en ce qui concerne la protection des données des utilisateurs et les lanceurs d’alerte veillent. LinkedIn vient récemment d’en faire les frais. En effet, une faille dans le plugin AutoFill du réseau social professionnel a potentiellement permis à des hackers de voler certaines de vos informations: votre nom complet, numéro de téléphone, adresse e-mail, code postal, entreprise et titre.
Le plugin AutoFill de Linkedin est utilisé par certains sites Web pour vous permettre de remplir automatiquement leur formulaire avec des données issues du réseau social, par exemple pour vous inscrire sur un site. La faille a été découverte par le chercheur Jack Cable le 9 avril. Ce dernier a averti LinkedIn qui a discrètement rectifié le tir le lendemain. Mais selon le chercheur, la solution trouvée n’était toujours pas satisfaisante et exposait encore les données des utilisateurs. Sans nouvelle de LinkedIn, il a décidé de prévenir les médias dont Techcrunch. Depuis, LinkedIn a à nouveau rectifié le tir. Mais il aura fallu que l’affaire s’ébruite un peu. Retour sur la chronologie des faits.

1er temps: la première faille est corrigée

En quoi ce plugin pouvait-il être problématique ? L’utilisation de la fonctionnalité de remplissage automatique est limitée à certains site sur liste blanche. Cependant, Jack Cable avait découvert qu’elle pouvait être détournée et utilisée par n’importe quel site Web. Ce dernier pouvait ensuite rendre le bouton de saisie automatique invisible et l’étendre à toute la page. Ainsi, il suffisait que l’internaute clique n’importe où pour que ses informations soient envoyées au site Web sans qu’il ne le sache.
Cette faille a depuis été corrigée par Linkedin après le rapport envoyé par Jack Cable. Contacté par Techcrunch, LinkedIn a déclaré qu’il n’y a aucune preuve qui montre qu’un site ait profité de cette faille pour voler des données. Mais selon Jack Cable, même si cela avait été le cas, LinkedIn n’aurait aucun moyen de le savoir car cela n’enverrait aucun signal d’alarme à ses serveurs.

2e temps: Linkedin ne règle la seconde faille qu’à la suite de l’ébruitement de l’affaire

Mais surtout, ce qui a amené le chercheur à contacter certains médias est que selon lui la solution apportée par LinkedIn n’était toujours pas satisfaisante. Elle atténuait juste le risque. Ce dernier explique que si l’un des sites Web de la liste blanche contenait une faille XSS (cross-site scripting), les hackers pouvaient toujours exécuter AutoFill sur leurs sites en installant un iframe sur le site en liste blanche et vulnérable. Et selon le chercheur, certains sites de la liste était en effet concernés par cette vulnérabilité.
Il aura donc fallu qu’il contacte les médias pour que LinkedIn réagisse à ce dernier point. Entre temps, neuf jours s’étaient écoulés. Finalement, hier, le réseau social a envoyé cette déclaration à Techcrunch  : "Nous sommes maintenant en train de mettre en place une autre solution qui permettra de traiter d’éventuels cas d’abus supplémentaires", puis a réglé le problème.

Aucun commentaire:

Enregistrer un commentaire