Contacté par un spécialiste en sécurité informatique à propos d'une faille importante, LinkedIn a joué la sourde oreille... jusqu'à ce que celui-ci finisse par signaler cette situation à The Verge. Depuis, le réseau social professionnel affirme avoir corrigé la faille.

En matière de faille de sécurité, LinkedIn semble moins réactif que Facebook. Du moins à en croire Khalil Shreateh, un informaticien palestinien à l’origine d’un signalement au réseau social professionnel. Le spécialiste n’en est pas à son coup d’essai : en 2013, il hackait la page Facebook de Mark Zuckerberg pour mettre en avant une faille de sécurité du réseau social.

Cette démonstration avait entraîné une réaction immédiate de l’équipe technique de Facebook, qui avait en revanche refusé de récompenser le hackeur, au motif qu’il avait violé les conditions d’utilisation de la plateforme. Aujourd’hui, pour exprimer sa frustration face à la passivité de LinkedIn, un mois après lui avoir signalé une faille de sécurité tout aussi importante, Khalil Shreateh a décidé d’en alerter The Verge.

Concrètement, cette faille consiste à modifier le code lié aux images hébergées par LinkedIn, pour faire en sorte qu’un clic dessus lance un script, ouvrant la voie à la mise en ligne potentielle d’un faux login LinkedIn qui permettrait de récupérer le mot de passe et l’identifiant de la personne piégée via un faux formulaire. Soit grâce à un compte LinkedIn influent, soit par le biais d’une campagne de phishing.

Une capture d’écran de Khalil Shreateh pour illustrer son avertissement

« Les réponses de LinkedIn m’ont stupéfait »

Les ingénieurs de LinkedIn qui ont répondu à Khalil Shreateh ont selon lui préféré ignorer son signalement, au motif qu’une telle faille nécessitait d’être « activée par l’utilisateur ». « Toutes les réponses de LinkedIn m’ont stupéfait. Ils devraient, au même titre que les autres entreprises, rapporter ces failles de sécurité au niveau le plus élevé, pour qu’un spécialiste puisse fournir une réponse directe à n’importe quel type de rapport » regrette ainsi l’informaticien qui compte à son actif au moins 10 récompenses pour avoir signalé des failles techniques à Facebook.

Visiblement soucieux de faire bonne figure après la publication de l’article de The Verge, LinkedIn a tenu à mettre en avant sa réaction par l’intermédiaire d’un porte-parole : « Après avoir été contacté par ce [spécialiste] au sujet d’un souci sur notre plateforme, nous avons échangé avec lui et mis en place une correction après avoir réussi à reproduire [cette faille]. » Le réseau social affirme qu’aucun utilisateur n’a été touché par une utilisation frauduleuse du bug.

À l’inverse, d’autres entreprises se montrent traditionnellement favorables vis-à-vis des particuliers qui leur signalent des failles, à l’instar de Google, qui n’hésite pas à recourir à de tels « chasseurs » pour sécuriser certaines applis de son Play Store. D’autres services, comme Dropbox, ont quant quant à eux largement revalorisé les récompenses proposées à ces tiers.

Partager sur les réseaux sociaux