LinkedIn a traité une faille au niveau de son bouton de saisie automatique qui aurait permis à un site web malveillant de recueillir les données de base d’un compte à partir de votre profil LinkedIn.
Lancé il y a quelques années, AutoFill est un outil pratique permettant aux sites web de récupérer le nom, l’adresse email, le numéro de téléphone, l’emplacement géographique, le nom de l’entreprise et le rôle d’un visiteur dans son entreprise.
Les visiteurs doivent être connectés à LinkedIn pour que cela fonctionne de manière transparente. Ceux qui ne sont pas connectés verront apparaître un bouton “se connecter à LinkedIn”.
Compte tenu de la sensibilité des données récupérées, cette fonctionnalité est seulement supposée être disponible pour un groupe bien précis de sites qui paient pour ce privilège.
Mais selon l’expert Jack Cable, n’importe quel site web malveillant aurait pu l’héberger, de manière invisible, et siphonner vos données personnelles sans être détecté.
Pour activer ce piège, tout ce que cette victime involontaire aurait eu à faire c’est de cliquer n’importe où, au niveau de la page malveillante, comme démontré par la preuve de concept de Cable. Selon l’expert :
En effet, le bouton de saisie automatique peut être rendu invisible et s’étendre sur toute la page, ce qui oblige l’utilisateur à cliquer n’importe où pour envoyer les informations de l’utilisateur au site web.
Après en avoir été informé le 9 avril, LinkedIn a partiellement corrigé la vulnérabilité le jour suivant, en limitant le plugin à la liste des sites autorisés à utiliser cette fonctionnalité AutoFill. Selon LinkedIn :
Nous avons immédiatement empêché l’utilisation non autorisée de cette fonctionnalité, une fois que nous avons été informés du problème. Nous sommes maintenant en train de mettre en œuvre une autre solution qui permettra de traiter d’éventuels cas d’abus supplémentaires et qui sera disponible sous peu.
LinkedIn a déclaré qu’il n’avait vu aucun signe d’abus et a remercié Cable de l’avoir signalé.
Le correctif du 10 avril a permis d’empêcher les sites qui n’étaient pas autorisés à utiliser le code pour l’héberger, tout en laissant néanmoins les utilisateurs des sites autorisés à en faire usage avec un risque de vulnérabilité vis-à-vis d’abus potentiels, si ces sites hébergent par exemple des failles XSS (cross-site scripting).
Cette vulnérabilité a été traitée avec un deuxième patch le 19 avril.
Les failles sur le web sont incroyablement fréquentes, mais celle-ci ouvrait la porte à des problèmes plus importants.
Tout d’abord, ce qui ressemblait à une vulnérabilité sérieuse se cachait depuis longtemps à la vue de tous, témoignant ainsi de la faiblesse des tests.
Deuxièmement, et peut-être le pire ici, les utilisateurs de LinkedIn qui se sont connectés n’ont eu qu’un contrôle rudimentaire sur cette fonctionnalité.
Comme son nom l’indique, en visitant un site avec le plugin AutoFill installé (Twitter, SalesForce, Twilio, par exemple), vos données seront saisies automatiquement pour ensuite être envoyées. Il ne semble pas existé de paramètre de confidentialité de LinkedIn pour contrôler cette fonctionnalité.
Une contre-mesure que vous pouvez prendre (et qui vous protège également vis à vis des attaques Cross-Site Request Forgery de toutes sortes), est de se déconnecter des sites tels que LinkedIn lorsque vous avez fini de les utiliser.
Pendant ce temps, l’explication de LinkedIn sur la sécurité du plugin AutoFill est rédigée uniquement pour aider les sites web qui souhaitent l’installer. Au final, les données de l’utilisateur semblent être tout simplement une ressource supplémentaire à diffuser le plus massivement possible.
C’est un modèle qui explique comment le web fonctionne souvent. Comme les récents problèmes de Facebook le soulignent, l’avenir pourrait ne pas être sous le signe de l’insouciance !
Billet inspiré de LinkedIn patches serious leak in its AutoFill plugin, sur Sophos nakedsecurity.