S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

6,5 millions de mots de passe LinkedIn dans la nature

Linkedin Linkedout

LinkedIn est sous le feu des projecteurs pour deux problèmes de sécurité. D’abord, son application mobile sous iOS enverrait des informations personnelles sans l’accord de l’utilisateur. Ensuite, des millions de mots de passe du service ont fuité. De quoi passer une très mauvaise journée pour l'éditeur.

LinkedIn Logo

Une application iOS bavarde

Cette découverte a été faite par deux chercheurs de la société Skycure Security, Yair Amit and Adi Sharabani. Ils ont mis en évidence un comportement relativement intrusif de l’application sous iOS. En effet, lorsque l’utilisateur active la fonction calendrier, LinkedIn devient particulièrement bavard.

Comme ils l’ont expliqué au site TheNextWeb, la fonction calendrier est complètement optionnelle et est désactivée par défaut. Lorsque l’utilisateur l’enclenche, l’application en lit le contenu ainsi que celui des notes ou de toute information relative datant des cinq derniers jours. Tous les types de calendriers sont concernés, aussi personnels que professionnels.

Premier problème : toutes ces informations sont envoyées aux serveurs de LinkedIn, y compris les titres de rendez-vous, l’organisateur, les participants ou encore les heures.

linkedin

Second problème, cette transmission se fait en clair. Autrement dit, les données ne sont pas chiffrées, ce qui pose un évident souci de sécurité.

La réponse officielle de LinkedIn est que la fonction calendrier est faite pour lier les profils du service aux personnes qui participent aux réunions. L’utilisateur obtient ainsi davantage de renseignements. L’éditeur précise également que la fonction est complètement optionnelle, qu’elle peut être désactivée n’importe quand, et que les informations sont envoyées via une connexion SSL. En outre, les données ne sont pas stockées et elles ne sont utilisées que pour l'identification des participants aux réunions.

Ces messages rassurants n'ont pas empêché la société d’annoncer quelques modifications. D’une part, tout ce qui touche aux notes ne sera plus envoyé. Comme l’avaient signalé les chercheurs, ces informations étaient inutiles dans le cadre de la fonctionnalité. D’autre part, un lien « En savoir plus » sera affiché pour fournir des informations sur la manière dont la société collecte les données et ce qu’elle en fait. Ces changements ont été apportés à l’application qui attend désormais de passer les sas de validation de l’App Store.

Des millions de mots de passe dans la nature

Mais une autre problèmatique nettement plus sérieuse vient salir le service en ligne. 6,5 millions de mots de passe ont fuité sur la toile. Une énorme brèche de sécurité rapportée dans un premier temps par le site norvégien Dagens IT et qui a depuis été confirmée.


Comme le montre le tweet ci-dessus, LinkedIn est informé de la situation et enquête actuellement. L’éditeur ne dit pas en revanche si la fuite est avérée, et son dernier tweet n'est pas plus bavard. Mais d’autres s’en sont chargés.

C’est le cas notamment de Graham Cluley du site Naked Security et consultant chez Sophos : « D’après notre enquête, il semblerait que les mots de passe soient authentiques ». Il complète : « les données publiées n’incluent pas les adresses email associées, mais je pense que l’on doit supposer qu’elles sont en possession des pirates ». Il estime en outre que les mots de passe, bien que chiffrés, peuvent être trouvés relativement facilement. Pour l'instant, 6,5 des 150 millions de comptes sont impactés, mais il faut attendre la confirmation formelle de l'éditeur pour en apprécier l'ampleur effective.

En attendant, les possesseurs de comptes peuvent toujours changer immédiatement leur mot de passe, par mesure de sécurité.
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Google+

Publiée le 06/06/2012 à 17:53

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...
;