Linkedin : une erreur humaine a pu exposer des données de connexion
Le nom de domaine du réseau social professionnel LinkedIn a été temporairement redirigé vers un autre serveur en fin de semaine dernière. L'incident ne résulterait pas de problèmes de sécurité mais il a sans doute exposé les cookies de session d'un certain nombre d'utilisateurs.
Les statistiques du service Pingdom, qui surveille le fonctionnement des sites web, montre que le service LinkedIn a été indisponible pendant 3 h 55 ce matin entre 2h 21 et 6h 16. Les utilisateurs qui ont essayé d'accéder au réseau social professionnel sont tombés sur une page parking leur proposant d'acheter le nom de domaine, rapporte Hacker News. Durant la période d'indisponibilité, l'équipe du service client de LinkedIn a précisé sur Twitter que l'interruption venait d'un problème lié au système de nom de domaine (DNS), sans préciser davantage de quoi il retournait.
Pour Bryan Berg, co-fondateur du service de microblogging App.net, il s'agit d'un détournement de DNS. Il explique que le trafic de LinkedIn était redirigé vers le réseau d'une société dénommée Confluence Networks. Et ajoute que, dans la mesure où LinkedIn n'utilise pas SSL par défaut, les utilisateurs qui ont essayé d'accéder au site pendant l'incident ont pu exposer leurs cookies de session en clair à un autre serveur. Les cookies de session sont des fichiers texte qui contiennent des identifiants que les sites web placent dans les navigateurs pour mémoriser les utilisateurs authentifiés. Les attaquants qui les volent peuvent les mettre dans leur propre navigateur pour accéder à ces comptes.
Pas d'attaque, mais une erreur humaine
« Depuis quelques heures, nous avons commencé à recevoir des rapports sur des sites (dont LinkedIn.com) pointant sur les adresses IP qui nous sont allouées », indique Confluence Networks dans une note publiée sur leur site en précisant être en contact avec les sites affectés pour identifier la cause originelle du problème. La société se décrit comme un fournisseur de services réseau ayant des liens avec des datacenters sur différentes zones géographiques. Dans une communication ultérieure, la société ajoute qu'elle a reçu confirmation que la cause venait d'une erreur humaine et n'était pas liée à un problème de sécurité.
Dans un email à nos confrères d'IDG News Service, Darain Faraz, porte-parole pour LinkedIn, confirme de son côté que le service a été inaccessible tôt ce matin et ajoute que la société qui gère leur domaine a reconnu qu'il s'agissait d'une erreur de leur fait. L'équipe a rapidement trouvé le problème et tout est rentré dans l'ordre.
Changer de mot de passe, une option sage pour les utilisateurs touchés
Changer de mot de passe, une option sage pour les utilisateurs touchés
D'un point de vue technique, cet incident peut avoir des conséquences sur la sécurité des utilisateurs du réseau social, selon Bogdan Botezatu, analyste spécialisé sur les menaces électroniques chez Bitdefender, interrogé par nos confrères d'IDG News Service. « Si le détournement a eu lieu au niveau du DNS, il y a des chances que les cookies aient été envoyés au mauvais site web si l'utilisateur n'a pas mis en place les fonctions de sécurité SSL via les paramètres de compte de LinkedIn », explique-t-il dans un mail.
Contrairement à d'autres fournisseurs de services en ligne comme Google ou Twitter, qui utilisent HTTPS (http Secure) par défaut pour toutes les connexions et donc qui les chiffre avec SSL, LinkedIn supporte SSL que comme une option. Les cookies ont un attribut appelé Secure qui peut être utilisé pour indiquer au navigateur de les transmettre uniquement par connexions sécurisées HTTPS. Toutefois, si SSL n'est pas utilisé, les cookies peuvent être envoyés en plein texte via le protocole http. « Changer le mot de passe du compte serait l'option la plus sage », considère Bogdan Bitdefender, compte-tenu du fait que les cookies LinkedIn semblent avoir une durée de vie d'environ trois mois et que l'on ne sait pas s'ils ont été récupérés par des sites malveillants.
