Passer au contenu

Le Passport de Microsoft n’était pas sécurisé

Un informaticien pakistanais a découvert une nouvelle faille dans le dispositif de Microsoft. Il suffisait d’intégrer une chaîne de caractères dans une adresse Internet donnée pour accéder aux quelque 200 millions de comptes .Net
Passport.

Nouveau coup dur pour le système d’authentification en ligne de Microsoft, .Net Passport. L’éditeur de logiciels a confirmé, jeudi 8 mai, dans un communiqué, l’existence d’une nouvelle faille de sécurité dans son dispositif. Un
patch a depuis été mis en place. Mais Microsoft a reconnu que près de 200 millions de comptes .Net Passport avaient pu être potentiellement exposés aux agissements de hackers ou de voleurs. Ces derniers pouvaient accèder aux comptes et
emprunter l’identité des utilisateurs du service.Le plaisir de la découverte revient cette fois-ci à un consultant en informatique de Karachi (Pakistan), dont le compte Passport a été piraté. Après avoir envoyé à Microsoft quelques dizaines de mails restés sans réponse, Muhammad
Faisal Rauf Danka a enquêté sur le sujet et s’est décidé à en poster les détails sur Internet.Interrogé par Associated Press, le consultant informatique a expliqué que, en incluant dans une adresse Internet donnée la chaîne de caractères ‘ emailpwdreset ‘, les
pirates pouvaient accéder à n’importe quel compte Passport. Cette instruction était ordinairement utilisée par les internautes pour remettre à zéro leur compte après en avoir perdu le mot de passe.

Des failles de sécurité à répétition

Selon Adam Sohn, l’un des responsables du projet .Net Passport, la faille de sécurité existait depuis au moins septembre 2002. Par ailleurs, d’après les premières conclusions de l’enquête diligentée par Microsoft, aucune tentative de
détournement de compte n’aurait eu lieu avant le mois dernier.Quoi qu’il en soit, ce nouvel épisode sonne comme un mauvais remake pour l’éditeur. Le service d’authentification en ligne est aujourd’hui utilisé par des sites tels qu’eBay, LastMinute.com, Expedia, ou Hotmail. De par ses implications,
la vulnérabilité du dispositif est sous haute surveillance.L’été dernier, la Federal Trade Commission (FTC) s’était déjà penchée sur la question, après la découverte d’une énième faille de sécurité. Microsoft avait dû s’engager à protéger au mieux son programme, et à fournir tous les deux ans
un rapport sur sa sécurisation, sous peine d’une amende de 11 000 dollars par infraction constatée.Rapportée au nombre de comptes enregistrés sous .Net Passport, cette amende virtuelle pourrait s’élever à 2 200 milliards de dollars. Mais il est probable qu’une fois de plus Microsoft parviendra à un accord à lamiable avec
Washington.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Philippe Crouzillacq