Un chercheur vient de découvrir une très importante faille de sécurité au sein du réseau social professionnel LinkedIn. Ainsi, si la connexion au site se fait via le protocole HTTPS, l’internaute est redirigé vers une connexion HTTP standard. Or, il explique que ce serait justement la page d’accueil de l’utilisateur qui serait en charge de transmettre les cookies contenant les informations d’identification et le jeton d’authentification.
Ces cookies sont donc transmis en clair et les options du navigateur permettent de les récupérer, et resteraient valides une fois l’utilisateur déconnecté du réseau. Même en changeant votre mot de passe, la manipulation fonctionne toujours.
Pour l’instant, le seul cas de figure rendant les cookies inopérants consiste à fermer son compte LinkedIn et à le rouvrir avec la même adresse e-mail de souscription (et donc réinviter tous ses contacts…).
LinkedIn a annoncé que la société envisageait de proposer aux utilisateurs d’activer constamment la connexion HTTPS de leur session.