ActualitéBusinessTech

LinkedIn corrige discrètement une faille qui exposait les données personnelles des utilisateurs

Pour découvrir l’actualité de la FrenchTech, et les infos à ne pas manquer directement dans votre boite mail à 15h tous les jours, cliquez ici

Les acteurs du Web n’ont plus le droit à l’erreur en ce qui concerne la protection des données des utilisateurs et les lanceurs d’alerte veillent. LinkedIn vient récemment d’en faire les frais. En effet, une faille dans le plugin AutoFill du réseau social professionnel a potentiellement permis à des hackers de voler certaines de vos informations: votre nom complet, numéro de téléphone, adresse e-mail, code postal, entreprise et titre.

Le plugin AutoFill de Linkedin est utilisé par certains sites Web pour vous permettre de remplir automatiquement leur formulaire avec des données issues du réseau social, par exemple pour vous inscrire sur un site. La faille a été découverte par le chercheur Jack Cable le 9 avril. Ce dernier a averti LinkedIn qui a discrètement rectifié le tir le lendemain. Mais selon le chercheur, la solution trouvée n’était toujours pas satisfaisante et exposait encore les données des utilisateurs. Sans nouvelle de LinkedIn, il a décidé de prévenir les médias dont Techcrunch. Depuis, LinkedIn a à nouveau rectifié le tir. Mais il aura fallu que l’affaire s’ébruite un peu. Retour sur la chronologie des faits.

1er temps: la première faille est corrigée

En quoi ce plugin pouvait-il être problématique ? L’utilisation de la fonctionnalité de remplissage automatique est limitée à certains site sur liste blanche. Cependant, Jack Cable avait découvert qu’elle pouvait être détournée et utilisée par n’importe quel site Web. Ce dernier pouvait ensuite rendre le bouton de saisie automatique invisible et l’étendre à toute la page. Ainsi, il suffisait que l’internaute clique n’importe où pour que ses informations soient envoyées au site Web sans qu’il ne le sache.

Cette faille a depuis été corrigée par Linkedin après le rapport envoyé par Jack Cable. Contacté par Techcrunch, LinkedIn a déclaré qu’il n’y a aucune preuve qui montre qu’un site ait profité de cette faille pour voler des données. Mais selon Jack Cable, même si cela avait été le cas, LinkedIn n’aurait aucun moyen de le savoir car cela n’enverrait aucun signal d’alarme à ses serveurs.

2e temps: Linkedin ne règle la seconde faille qu’à la suite de l’ébruitement de l’affaire

Mais surtout, ce qui a amené le chercheur à contacter certains médias est que selon lui la solution apportée par LinkedIn n’était toujours pas satisfaisante. Elle atténuait juste le risque. Ce dernier explique que si l’un des sites Web de la liste blanche contenait une faille XSS (cross-site scripting), les hackers pouvaient toujours exécuter AutoFill sur leurs sites en installant un iframe sur le site en liste blanche et vulnérable. Et selon le chercheur, certains sites de la liste était en effet concernés par cette vulnérabilité.

Il aura donc fallu qu’il contacte les médias pour que LinkedIn réagisse à ce dernier point. Entre temps, neuf jours s’étaient écoulés. Finalement, hier, le réseau social a envoyé cette déclaration à Techcrunch  : « Nous sommes maintenant en train de mettre en place une autre solution qui permettra de traiter d’éventuels cas d’abus supplémentaires », puis a réglé le problème.

Cette histoire montre le laxisme dont peuvent parfois faire preuve les géants de la tech dans leur course effrénée à la collecte de données, ce qui demande une vigilance accrue du côté des utilisateurs.

Bouton retour en haut de la page
LinkedIn corrige discrètement une faille qui exposait les données personnelles des utilisateurs
[Série A] Cybersécurité : a16z mise sur l’AssurTech Stoïk pour son second investissement en France
Quelle est la recette de DL Software pour réussir sa stratégie de Build Up?
[Série A] Cryptomonnaies : Flowdesk lève 30 millions de dollars auprès d’Eurazeo, ISAI, Ledger et Coinbase
[DECODE Quantum] A la rencontre de la startup WeLinQ
La FinTech SumUp valorisée 8 milliards d’euros après une nouvelle levée de fonds
[Série B] BNPL : Hokodo lève 37 millions d’euros pour sa solution B2B

Votre logiciel antipub bloque votre accès à FrenchWeb.fr


Depuis 14 ans, FrenchWeb vous propose chaque jour des contenus sur la FrenchTech. Nous diffusons rarement des publicités et ne collectons pas la moindre information sans votre consentement.


Votre adblocker empêche d'afficher correctement votre media FrenchWeb. Pour y accèder, nous vous recommandons de nous ajouter à votre liste de sites autorisés.


Merci et bon surf!


Richard Menneveux, fondateur de FrenchWeb.fr et CEO de DECODE.Media