IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

LinkedIn Intro : le nouveau service de LinkedIn déployé sur iOS soulève des questions de sécurité
Quel est votre avis ?

Le , par Stéphane le calme

122PARTAGES

0  0 
La fonctionnalité de LinkedIn déployée sur iOS intégrera directement des informations relatives au profil du correspondant, dans le client de messagerie. L’objectif étant de permettre à l'utilisateur de savoir instantanément qui sont les personnes qui lui ont envoyer des courriels.

Ce service permet d'intégrer des informations relatives au profil LinkedIn du correspondant sous le champ expéditeur de l'application de messagerie d'Apple et de bien d'autres clients de messagerie dans leur version iOS. « Intro vous donne tout ce dont vous avez besoin pour mettre un visage sur un nom, établir des connections et rédiger des e-mails de manière efficace », explique Rahul Vohra, co-fondateur de Rapportive pour le compte de LinkedIn.


LinkedIn communique certains détails relatifs au fonctionnement de l'application sur un billet de blog à l'intention des développeurs de LinkedIn, intitulé : « LinkedIn Intro : Doing the Impossible on iOS ». L'application interpose un serveur IMAP entre celui du service de messagerie électronique et l’utilisateur. Le principe est identique à celui de l'attaque Man in the Middle puisque le transfert sécurisé des mails est interrompu afin que l'application puisse prendre le contrôle du compte et injecter dans le courriel le code nécessaire à l’affichage des informations requises.


Bishop Fox, une compagnie de recherche en sécurité, a écrit sur son blog que « " mais cela ressemble à une attaque man-in-the-middle! " je vous entends pleurer. Oui. Oui, en effet c'est le cas. C'est exactement ce que c'est. Et c'est une mauvaise chose. Surtout si vos employés consultent leurs courriels professionnel. ». Le chercheur en sécurité Graham Cluley réagit dans le même sens : « Pour leur donner du crédit, d'un point de vue d'ingénierie Intro est plutôt grandiose. Mais côté sécurité et confidentialité il fait froid dans le dos. »

Et Bishop Fox d'essayer d'illustrer ses propos : « Pensez-y de cette façon. Un vendeur vous dit qu'il vont installera un dispositif sur votre réseau qui contrôle tous vos courriels afin qu'il puisse indiquer ses coordonnées dans vos courriels. Il va le faire gratuitement - sauf qu'il veut avoir un accès illimité à tous vos courriels et les exploiter pour obtenir des informations sur vos utilisateurs. Il ne dit pas exactement ce qu'ils auraient stocker de chaque e-mail, mais il faut juste lui faire confiance pour faire la bonne chose. ». Bien sûr les deux recommandent de ne pas utiliser l'application.

Cory Scott, Information Security Manager chez LinkedIn, a déclaré dans un billet blog « après avoir été membre de la communauté de sécurité pendant plus de 15 ans, je comprends que le scepticisme et les spéculations quant aux pires scénarios sont une part importante de la discipline qu'est la sécurité. Toutefois, nous pensons, dans ce cas, qu'il est nécessaire de corriger certaines mauvaises interprétations. Nous recevons et encouragerons un dialogue ouvert sur les risques qui sont présent sur tout les services internet qui gère les courriels ou d'autres données sensibles »

Source : LinkedIn , Graham Cluley, Bishop Fox

Et vous ?

Qu'en pensez-vous ?

Allez-vous vous fier aux dire de LinkedIn et l'essayer ou écouter l'avis d'autres expert et ne pas tenter l'expérience ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Neckara
Inactif https://www.developpez.com
Le 29/10/2013 à 8:07
Bonjour,

Déjà, si ils font du Man in the Middle, je suppose qu'on pourra pas utiliser l'IMAP-SSL ?

De plus, je trouve cela vraiment suspect, on ne va tout de même pas me dire qu'ils étaient obligé de passer par un serveur intermédiaire pour associer à une adresse E-mail quelques informations ?

A moins que leur but soit de lire et de modifier les E-mail à l'insu des utilisateurs, passer par un tel serveur intermédiaire n'a aucun sens.
1  0