Livré la semaine dernière, le plug-in Linkedin Intro pour l'application de messagerie native de l'iPhone permet de lier les informations de son profil Linkedin à ses courriels. L'objectif est de mettre les courriels dans un contexte plus professionnel. Mais, selon les experts, le service se fait au détriment des données privées des utilisateurs. Toutes les données des courriels envoyés et reçus transitant par les serveurs de Linkedin sont en effet passées au crible et analysées, et la société de conseil en sécurité Bishop Fox n'hésite pas à dire dans un blog que le service se comporte s'il effectuait une attaque de type « man-in-the-middle ». « Le fait d'introduire de nouvelles sources de données dans un milieu déjà vulnérable aux problèmes de sécurité comme les courriels est une aubaine de choix pour les pirates », a écrit Bishop Fox, ajoutant qu'il se passera peu de temps avant que le service ne soit utilisé pour lancer une attaque par phishing. « À l'ère de la publicité ciblée, des cookies, des données de géolocalisation et de la NSA, la crainte d'être espionné sur le Net n'est pas nouvelle. Mais en voulant intégrant des informations de profil Linkedin dans le courriel des utilisateurs, le réseau social pêche par excès d'informations », a déclaré Carl Livitt, spécialiste de la gestion des risques chez Bishop Fox. « Linkedin a utilisé une massue pour casser un oeuf », a ajouté l'expert. « Pour les pirates, Intro est une cible alléchante », a-t-il encore déclaré.

Une sécurité en trompe l'oeil

Pour Linkedin, la politique de confidentialité du service selon laquelle chaque élément de données est crypté avec une clef unique par utilisateur et par terminal est respectée. « Les serveurs eux-mêmes sont sécurisés et surveillés 24h/24 et 7j/7 pour empêcher tout accès non autorisé », se défend le réseau social. « Cependant, Linkedin ne dit pas qu'il décrypte les emails pendant qu'ils sont sur ses serveurs afin d'apporter des modifications et lier les informations du profil qui va être ajouté à l'émail de l'utilisateur. Or c'est pourtant ce qui se passe », affirme Carl Livitt. Mais d'autres observateurs ne pensent pas qu'Intro pose de nouvelles questions en matière de sécurité. « C'est ce qui se passe avec tout autre fournisseur de services dans le cloud, que ce soit Google, Yahoo, AOL et bien d'autres », a déclaré l'expert en sécurité Bruce Schneier, également auteur d'ouvrages sur le sujet. « Il faut leur faire confiance. C'est juste une entreprise de plus à se lancer dans ce business », a-t-il ajouté. « Jusque-là, il y en avait 1000 entreprises auxquelles il fallait faire confiance. Linkedin est la 1001e ! »

Côté sécurité des données, Linkedin marche peut-être déjà sur des oeufs. L'année dernière, le service a subi un piratage massif de la base de données où étaient conservés les mots de passe des utilisateurs : des millions de mots de passe hachés avaient été retrouvés dans le forum d'un site russe. Un porte-parole de Linkedin a déclaré dans un communiqué que le réseau social prenait la confidentialité et la sécurité des données de ses membres au sérieux, et qu'il avait « pris toutes les mesures pour s'assurer que les précautions de sécurité appropriées étaient en place avant de lancer Linkedin Intro ». Mais,  Carl Livitt insiste : « si les risques de sécurité sont réels, est-ce que le service proposé par Intro en vaut la chandelle ? Cela revient à prendre une décision personnelle ». En ce qui le concerne, l'expert de Bishop Fox répond clairement « non, je ne recommanderais Intro à aucun de mes clients».