Il y a 2 ans l’un des plus populaire des réseaux sociaux a dépensé entre 500 000 et 1 000 000 de dollars de frais juridique après le vol de millions de comptes. Mais il semble que cette aventure ne lui ait pas servi de leçon!
HACK by MAN IN THE MIDDLE ATTACK (MitM) What is it?
L’attaque par MitM est une attaque courante qui consiste à intercepter les informations que vous envoyez (surtout sur les réseaux sociaux), les analyser et voler certaines informations sensibles. (Comme vos identifiants de connexion et/ou le détournement de votre session)
LinkedIn possède plusieurs centaines de millions d’utilisateurs qui sont toujours exposés à cette attaque à cause de la manière dont le site utilise le Secure Sockets Layer (SSL) (Encryptage des informations via HTTPS).
LinkedIn utilise bien le protocole HTTPS sur la page de login, mais il n’utilise toujours pas le HTTP Strict Transport Security (HSTS) qui empêche les informations de circuler en HTTP (non sécurisé/crypté).
Selon les chercheurs de Zimperium Mobile Threat Defence la mauvaise utilisation de HTTPS/SSL permet aux pirates d’intercepter les communications en remplaçant la liaison HTTPS en HTTP. (SSL Stripping attack)
Plutôt que des grands discours voici comment s’y prendre en moins de 2 minutes. Fonctionne aussi pour Facebook, hotmail, …
Linkedin user hacked in 60 seconds. from Zimperium on Vimeo.
Avec cette attaque, le pirate peut prendre le contrôle TOTAL de votre session selon le type d’informations qu’il a intercepté. (Identifiants, cookies, ….) Imaginez le désastre si vous êtes en plus l’administrateur d’une page d’entreprise !!!!
Les chercheurs Israéliens ont signalé cette faille en mai 2013, malgré 6 tentatives d’aide, LinkedIn n’a pas répondu sérieusement.
En décembre 2013 LinkedIn a commencé la transition vers le full HTTPS, mais devant la lenteur du site, l’organisation Zimperium a décidé de rendre public cette information.
COMMENT SE PROTEGER VOTRE COMPTE DE CETTE ATTAQUE ?
Depuis 2012, LinkedIn offre à ses utilisateurs la possibilité d’utiliser un niveau d’échange de données pleinement sécurisé (HTTPS).
Pour vérifier ou activer manuellement la sécurité de vos échanges:
Ouvrir onglet: Compte -> Paramètres de sécurité -> Sélectionnez Full HTTPS