Le réseau social professionnel LinkedIn a connu cette semaine un bug au niveau d’un plugin d’auto-remplissage des données sur des sites en liste blanche approuvé. Cette technique permet aux membres LinkedIn de s’inscrire rapidement sur d’autres sites en remplissant automatiquement les informations personnelles de base des utilisateurs.

Un malware sur une faille Cross-Site-Scripting

A l’heure actuelle, une dizaine de sites autorisés en tant que domaine en liste blanche par LinkedIn dont Microsoft ou encore Twitter, peuvent utiliser la fonctionnalité d’auto-remplissage. De ce fait, il est possible pour les sites approuvés de récupérer des données de profil sans l’approbation de l’utilisateur.

En revanche, si un site contient une faille de type XSS (Cross-Site-Scripting), un hacker peut y incorporer un malware lui permettant de récupérer les données d’un utilisateur LinkedIn via la fonction d’auto-remplissage autorisée sur le domaine en liste blanche. C’est ce qui s’est produit sur au moins l’un des sites autorisés par LinkedIn. Le réseau social à assurer avoir corrigé le bug.

Des paramètres de confidentialité vulnérables

Comme pour toute vulnérabilité XSS, les données collectées par l’exécution du malware peuvent être renvoyées sur le serveur du hacker. Ce malware expose les données personnelles d’un profil en dépit des paramètres de confidentialité établit par l’utilisateur.

LinkedIn a très vite réagit à ce bug afin de garantir la sécurité et la protection des données des membres, notamment pour les adresses mail qui permettent la connection au site. En ce sens, le réseau social a immédiatement bloqué l’utilisation de la fonctionnalité d’auto-remplissage.

LinkedIn se veut toutefois rassurant sur cet incident en assurant n’avoir observé aucun signe d’abus.