IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

LinkedIn Intro : le nouveau service de LinkedIn déployé sur iOS soulève des questions de sécurité


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 383
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 383
    Points : 196 425
    Points
    196 425
    Par défaut LinkedIn Intro : le nouveau service de LinkedIn déployé sur iOS soulève des questions de sécurité
    LinkedIn Intro : le nouveau service de LinkedIn déployé sur iOS soulève des questions de sécurité,
    quel est votre avis ?

    La fonctionnalité de LinkedIn déployée sur iOS intégrera directement des informations relatives au profil du correspondant, dans le client de messagerie. L’objectif étant de permettre à l'utilisateur de savoir instantanément qui sont les personnes qui lui ont envoyer des courriels.

    Ce service permet d'intégrer des informations relatives au profil LinkedIn du correspondant sous le champ expéditeur de l'application de messagerie d'Apple et de bien d'autres clients de messagerie dans leur version iOS. « Intro vous donne tout ce dont vous avez besoin pour mettre un visage sur un nom, établir des connections et rédiger des e-mails de manière efficace », explique Rahul Vohra, co-fondateur de Rapportive pour le compte de LinkedIn.


    LinkedIn communique certains détails relatifs au fonctionnement de l'application sur un billet de blog à l'intention des développeurs de LinkedIn, intitulé : « LinkedIn Intro : Doing the Impossible on iOS ». L'application interpose un serveur IMAP entre celui du service de messagerie électronique et l’utilisateur. Le principe est identique à celui de l'attaque Man in the Middle puisque le transfert sécurisé des mails est interrompu afin que l'application puisse prendre le contrôle du compte et injecter dans le courriel le code nécessaire à l’affichage des informations requises.


    Bishop Fox, une compagnie de recherche en sécurité, a écrit sur son blog que « " mais cela ressemble à une attaque man-in-the-middle! " je vous entends pleurer. Oui. Oui, en effet c'est le cas. C'est exactement ce que c'est. Et c'est une mauvaise chose. Surtout si vos employés consultent leurs courriels professionnel. ». Le chercheur en sécurité Graham Cluley réagit dans le même sens : « Pour leur donner du crédit, d'un point de vue d'ingénierie Intro est plutôt grandiose. Mais côté sécurité et confidentialité il fait froid dans le dos. »

    Et Bishop Fox d'essayer d'illustrer ses propos : « Pensez-y de cette façon. Un vendeur vous dit qu'il vont installera un dispositif sur votre réseau qui contrôle tous vos courriels afin qu'il puisse indiquer ses coordonnées dans vos courriels. Il va le faire gratuitement - sauf qu'il veut avoir un accès illimité à tous vos courriels et les exploiter pour obtenir des informations sur vos utilisateurs. Il ne dit pas exactement ce qu'ils auraient stocker de chaque e-mail, mais il faut juste lui faire confiance pour faire la bonne chose. ». Bien sûr les deux recommandent de ne pas utiliser l'application.

    Cory Scott, Information Security Manager chez LinkedIn, a déclaré dans un billet blog « après avoir été membre de la communauté de sécurité pendant plus de 15 ans, je comprends que le scepticisme et les spéculations quant aux pires scénarios sont une part importante de la discipline qu'est la sécurité. Toutefois, nous pensons, dans ce cas, qu'il est nécessaire de corriger certaines mauvaises interprétations. Nous recevons et encouragerons un dialogue ouvert sur les risques qui sont présent sur tout les services internet qui gère les courriels ou d'autres données sensibles »

    Source : LinkedIn , Graham Cluley, Bishop Fox

    Et vous ?

    Qu'en pensez-vous ?

    Allez-vous vous fier aux dire de LinkedIn et l'essayer ou écouter l'avis d'autres expert et ne pas tenter l'expérience ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    Décembre 2011
    Messages
    9 012
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : Décembre 2011
    Messages : 9 012
    Points : 23 209
    Points
    23 209
    Par défaut
    Bonjour,

    Déjà, si ils font du Man in the Middle, je suppose qu'on pourra pas utiliser l'IMAP-SSL ?

    De plus, je trouve cela vraiment suspect, on ne va tout de même pas me dire qu'ils étaient obligé de passer par un serveur intermédiaire pour associer à une adresse E-mail quelques informations ?

    A moins que leur but soit de lire et de modifier les E-mail à l'insu des utilisateurs, passer par un tel serveur intermédiaire n'a aucun sens.

Discussions similaires

  1. Réponses: 0
    Dernier message: 20/05/2008, 19h49
  2. Nouveau service Windows Live
    Par Heureux-oli dans le forum La taverne du Club : Humour et divers
    Réponses: 12
    Dernier message: 27/02/2008, 13h29
  3. [Services Windows Media] pb sur la gestion des sélections de média
    Par guillaume_goupil dans le forum Windows Serveur
    Réponses: 1
    Dernier message: 03/11/2006, 15h46

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo