Le réseau social LinkedIn a fait l’objet d’une panne de quatre heures en raison d’une erreur humaine. Le détournement de son nom de domaine pourrait avoir mis à risque les comptes de certains utilisateurs, rapporte Computerworld.
Le réseau social professionnel LinkedIn a fait l’objet d’une interruption de service de 2 h 21 à 6 h 16 du matin, heure d’Angleterre, le 20 juin – de 20 h 21 le 19 juin à 0 h 16 le 20 juin, heure du Québec, selon le site web Pingdom.
Durant cette période, rapporte un article de Computerworld, les requêtes d’accès de la majorité des utilisateurs du réseau social ont été redirigées vers le serveur d’un tiers, le fournisseur de services d’hébergement Confluence Networks, qui affichait une page annonçant la mise en vente du nom de domaine de LinkedIn.
Après enquête, LinkedIn a indiqué qu’une erreur humaine de la part du gestionnaire de nom de domaine, et non une brèche de sécurité, avait mené au détournement du trafic vers le serveur de Convergence Networks.
Or, un analyste du fournisseur de solutions de sécurité Bitdefender déclare que des fichiers témoins (cookies) qui servent à authentifier les utilisateurs de LinkedIn ont pu être transmis en clair par le biais du protocole HTTP vers le serveur de Convergence Networks lorsque des internautes ont tenté de se connecter au réseau social durant la panne. L’interception de ces fichiers témoins transmis en clair pourrait permettre à des personnes malveillantes d’accéder aux comptes d’utilisateurs de LinkedIn.
L’analyste indique que LinkedIn n’active pas par défaut la fonction de sécurité SSL, contrairement à Twitter ou Google.
L’analyste de Bitdefender recommande aux personnes qui ont tenté de se connecter à LinkedIn durant la panne de changer leur mot de passe.
La fonction de sécurité SSL dans LinkedIn peut être activée en passant par Paramètres/Comptes/Gérer les paramètres de sécurité/Connexion sécurisée.
auteur : Jean-François Ferland
Source : DirectionInformatique.com