Une journée à peine après son entrée en bourse fracassante, le réseau social professionnel « LinkedIn » doit faire face à une faille majeure permettant à un assaillant de contourner son système d’authentification. Au même moment, le service de messagerie online « Hotmail » annonce avoir corrigé une vulnérabilité tout aussi effrayante qui laissait s’échapper correspondances et carnets d’adresses à l’insu des utilisateurs du service.

LinkedIn – Cookie et sessions en clair

C’est le chercheur Indien – Rishi Narang – qui revendique la découverte de la vulnérabilité sur son blog. La technique est relativement simple mais nécessite que l’assaillant soit connecté sur le même réseau local que la victime – ce qui restreint tout de même le champ d’exploitation de la faille. En « sniffant » le réseau local (ou wifi) et récupérant le cookie LEO_AUTH_TOKEN qui n’est pas chiffré et dispose d’un délai d’expiration d’un an, le pirate peut s’authentifier en lieu et place de la victime et accède alors à son compte. Et le SSL me direz-vous ? Le problème chez Linkedin est que ce cookie ne dispose pas du flag « secure » et qu’une fois l’authentification d’un membre réussie via HTTPS, il est redirigé vers une connexion HTTP (pour des raisons de performance/rapidité probablement). Dés lors, le cookie travers le réseau en clair et peut être intercepté.

Hotmail – Code malicieux

Pour le cas d’Hotmail, c’est une bonne vielle technique d’injection de code malicieux dans un email piégé qui a été utilisée. Dés lors qu’un utilisateur visualiser un email piégé, le code embarqué était exécuté dans le contexte de l’utilisateur de manière totalement transparente. Ce code configurerait alors la messagerie pour envoyer le contenu des correspondances ainsi que le carnet d’adresse de l’utilisateur sur un serveur distant probablement opéré par le pirate. La vulnérabilité semble être localisée dans le moteur de filtrage CSS d’Hotmail.

Voilà qui alimentera certainement les arguments des « anti-clouds », pour qui envoyer les données dans le nuage est risqué. Mais soyons pragmatiques, la sécurité à 100% n’existe pas, ni dans le Cloud ni ailleurs ! En revanche – Cloud oblige – la correction de ces failles sera rapide et bénéficiera immédiatement à l’ensemble des utilisateurs.

Il reste cependant à savoir qui a pu profiter de ces vulnérabilités (surtout celle de Hotmail) avant qu’elles ne soient rendues publiques, et pendant combien de temps.