En matière de faille de sécurité, LinkedIn semble moins réactif que Facebook. Du moins à en croire Khalil Shreateh, un informaticien palestinien à l’origine d’un signalement au réseau social professionnel. Le spécialiste n’en est pas à son coup d’essai : en 2013, il hackait la page Facebook de Mark Zuckerberg pour mettre en avant une faille de sécurité du réseau social.
Cette démonstration avait entraîné une réaction immédiate de l’équipe technique de Facebook, qui avait en revanche refusé de récompenser le hackeur, au motif qu’il avait violé les conditions d’utilisation de la plateforme. Aujourd’hui, pour exprimer sa frustration face à la passivité de LinkedIn, un mois après lui avoir signalé une faille de sécurité tout aussi importante, Khalil Shreateh a décidé d’en alerter The Verge.
Concrètement, cette faille consiste à modifier le code lié aux images hébergées par LinkedIn, pour faire en sorte qu’un clic dessus lance un script, ouvrant la voie à la mise en ligne potentielle d’un faux login LinkedIn qui permettrait de récupérer le mot de passe et l’identifiant de la personne piégée via un faux formulaire. Soit grâce à un compte LinkedIn influent, soit par le biais d’une campagne de phishing.
« Les réponses de LinkedIn m’ont stupéfait »
Les ingénieurs de LinkedIn qui ont répondu à Khalil Shreateh ont selon lui préféré ignorer son signalement, au motif qu’une telle faille nécessitait d’être « activée par l’utilisateur ». « Toutes les réponses de LinkedIn m’ont stupéfait. Ils devraient, au même titre que les autres entreprises, rapporter ces failles de sécurité au niveau le plus élevé, pour qu’un spécialiste puisse fournir une réponse directe à n’importe quel type de rapport » regrette ainsi l’informaticien qui compte à son actif au moins 10 récompenses pour avoir signalé des failles techniques à Facebook.
Visiblement soucieux de faire bonne figure après la publication de l’article de The Verge, LinkedIn a tenu à mettre en avant sa réaction par l’intermédiaire d’un porte-parole : « Après avoir été contacté par ce [spécialiste] au sujet d’un souci sur notre plateforme, nous avons échangé avec lui et mis en place une correction après avoir réussi à reproduire [cette faille]. » Le réseau social affirme qu’aucun utilisateur n’a été touché par une utilisation frauduleuse du bug.
À l’inverse, d’autres entreprises se montrent traditionnellement favorables vis-à-vis des particuliers qui leur signalent des failles, à l’instar de Google, qui n’hésite pas à recourir à de tels « chasseurs » pour sécuriser certaines applis de son Play Store. D’autres services, comme Dropbox, ont quant quant à eux largement revalorisé les récompenses proposées à ces tiers.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !