Nous utilisons des cookies pour améliorer votre expérience.

MacBidouille

[Mise à jour] Une belle violation des règles de confidentialité par LinkedIn

Utilisatrices et utilisateurs de LinkedIn via l'application mobile pour iPhone et iPad, réjouissez vous : une fuite de données (faille ?) a été découverte par des chercheurs, qui présenteront leurs travaux à l'université de Tel Aviv ce jour.

LinkedIn Steals Data

iCal Details

Les entrées saisies dans le calendrier de l'iPhone ou iPad sont transmises à LinkedIn, sans le consentement de l'utilisateur. Des éléments tels que les endroits, participants, numéro de téléphone et mots de passe saisis dans les notes sont transmises à LinkedIn !

Les chercheurs Yair Amit et Adi Sharabani ont précisément découvert que l’application LinkedIn pour iOS a inclu une fonctionnalité permettant aux utilisateurs de voir leurs entrées dans le calendrier intégré à iOS, sans utiliser ledit calendrier lui même. Néanmoins, une fois cette fonction activée,  les données sont transmises à LinkedIn. Histoire de pimenter la sauce, tous les caledriers présents sont copieusement lus...

Cette pratique, non communiqué aux utilisateurs de l’application, viole les règles de confidentialité que Apple énumère dans ses guides, interdisant à une application de collecter des données personnelles sans le consentement de l'utilisateur.

Une fonction similaire avait été découverte également dans le réseau social Path (toujours via une application IOS), en envoyant le carnet d’adresses complet d’un iPhone. Cette pratique, minutieusement observé par le Congrès américian, a été désactivé, Path indiquant ensuite avoir effacé les données collectées.

Bien évidemment, les développeurs de telles applications convoitent ce type de données leur permettant de faire croitre le réseau de personnes utilisant leur programme. Mais dans le cas de LinkedIn, Mr. Amit et Mr. Sharabani déclarent qu’il n’y a pas de raison légitime à ce que LinkedIn exploite ces informations à destination de leurs serveurs.

Interrogé à ce sujet, Julie Inouye, porte-parole de LinkedIn, déclare «que cette fonction est une option que l’utilisateur peut désactiver à tout moment». «Nous utilisons ces informations pour faire correspondre les informations sur LinkedIn avec les personnes que vous rencontrez lors de réunions». Sic, on croit réver...

Notons qu’elle n’a pas clarifié pourquoi LinkedIn transmet ces informations aux serveurs.

Mr. Amit et Mr. Sharabani ont précisé que seul un identifiant unique (une sorte d’UID) est utilisé par LinkedIn, aucun des autres détails n’étant exploité (doit-on croire LinkedIn ?)

Le problème a été reporté à LinkedIn, mais rien n’a été corrigé à ce jour.

Une fois de plus, nous touchons du doigt un sujet sensible : la collecte de données non consentie et leur exploitation par un tiers. Certes, LinkedIn n’est pas un site et un repaire de pirates ou hackers, mais le degré de confiance que l’on peut accorder à ces acteurs de la «Net-économie» s’estompe de nouveau. Imagnez un instant qu'un utilisateur ai stocké dans les notes de son rendez vous que l'action Facebook descendra rapidement en dessous de la barre des 38,00 $ à l'ouverture des marchés...

Une bonne et grosse conclusion s’impose donc : ne pas faire de ces outils comme l’iPhone (ou son Galaxy S3 Androïd) une banque de données à la merci des esprits plus ou moins bien intentionnés, en y stockant des informations critiques.

Enfin, si vous avez cette application sur votre précieux, désactivez la fonction Calendrier dans les réglages... Ou plus simplement, supprimez la.

Merci à Arthur pour le lien.

[Mise à Jour]

Une rumeur circulerait qu'un hacker russe aurait mis en ligne des millions de mot de passe LinkedIn. Il est visiblement conseillé de changer son mot de passe rapidement !

Sondage

Pensez-vous encore qu'Apple puisse révolutionner vos usages informatiques ?