Linkedln corrige la faille d’OAuth

Cette faille OAuth aurait pu permettre à quiconque d’avoir accès aux connexions de ses utilisateurs.

OAuth, est un « Open authorization Standard » (permet aux utilisateurs de partager leurs ressources privées),  utilisé par les services des réseaux sociaux tels que Klout ou Foursquare. OAuth permet aux utilisateurs de se connecter à ce service par l’intermédiaire des grands réseaux sociaux tels que Facebook et Twitter.

Un développeur de logiciel basé au Royaume Uni, Richard Mitchell, découvert par The Register, a blogué plus tôt dans la semaine sa découverte concernant le site d’aide Linkedln remettant des clés d’accès OAuth d’utilisateurs.

Ces clés d’accès OAuth soi-disant « secrètes » auraient pu être utilisées pour usurper l’identité d’utilisateurs Linkedln et obtenir leurs informations de profil via cette API (Application Programming Interface).

Mitchell a remarqué que pendant l’authentification, lors du chargement de la page, une demande à un fichier JavaScript apparaissait contenant cette clé API pour le système d’aide, qui « immédiatement » renvoie aux clés d’accès OAuth pour l’utilisateur. La faille OAuth est découverte.

En fait, tout ce que l’aide bureau du code JavaScript faisait avant de remettre l’identification était de vérifier que la dernière page que le visiteur est visité  provenait de LinkedIn.com.

Malheureusement (ou heureusement, si vous parlez de garantir votre vie privée ou du code de test), «l’usurpation d’identité» est une chose banale pour les codeurs.

John Leyden suggère, d’après The Register, que quelqu’un avec une intention malveillante (malhonnête) pourrait se connecter à LinkedIn et ensuite insérer une page malveillante  conçut pour donner l’information de « poké » le site d’aide LinkedIn pour obtenir l’identification OAuth de quelqu’un.

Les Malwares pourraient aussi potentiellement accéder aux informations de profil à l’aide des API, ajoute Leyde.

Mitchell  a écrit:

« J’ai rapidement découvert une requête à un fichier JavaScript incluant la clé API pour le système d’aide qui a immédiatement renvoyé une clé d’accès OAuth pour l’utilisateur. »

Grâce à la révélation de Mitchell du  3 Juillet, LinkedIn a réussi à réparer cette défaillance avant que tout méfait n’ait eu lieu, en désactivant les demandes sans référents.

Le porte-parole de Linkedln a déclaré, à The Register,  que le bug du compte de Mitchell s’est avéré exact:

[quote align=”left” color=”#999999″]Nous pouvons confirmer que nous avons été informés de la vulnérabilité d’OAuth et que nous avons pris les mesures nécessaires pour corriger le problème, qui a été résolu par notre équipe dans les 48 heures suivant la notification.[/quote]

En échange de ce désagrément, LinkedIn a remercié Mitchell en lui offrant  un t-shirt – “All the way from California” – dit-il.

Hourra pour les primes de bugs!

Je suppose que ce bug était assez petit et facile à corriger.

Sinon, peut-être que Mitchell aurait probablement obtenu une récompense plus importante.

Une housse de couette, peut-être ?

[divider]

Crédit Lisa Vaas – LinkedIn closes OAuth hole / Crédit Traduction – @RoxanneFerreira