Faille dans la sécurité Internet de Microsoft
Microsoft a reconnu jeudi l’existence d’une faille grossière dans la sécurité de son système Passport d’identification sur Internet. Une brèche colmatée aussitôt qu’elle a été révélée mais qui entache un peu plus la réputation du numéro 1 mondial du logiciel, déjà affectée par les bugs de sécurité à répétition de son navigateur Internet Explorer ou de ses systèmes d’exploitation Windows. Fait aggravant, Passport est justement censé permettre aux internautes d’acheter en toute tranquillité sur Internet. Or la faille exposait rien moins que les données personnelles sensibles des quelques 200 millions d’abonnés à Passport. A savoir, les numéro de carte de crédits ou les accès aux messageries électroniques.
Le plus étonnant est qu’il n’a fallu que quatre minutes à Muhammad Faisal Rauf Danka, un consultant pakistanais en informatique, pour découvrir cette vulnérabilité. « C’est si simple que c’en est amusant », explique-t-il dans le court mail qui lui a servi à la publier sur un liste de diffusion spécialisée. Il suffit en effet de connaître l’adresse email de la victime pour détourner littéralement son compte Passport en utilisant la procédure utilisée par les utilisateurs qui ne peuvent se rappeler leur mot de passe. Celle-ci se résume à une URL –adresse Internet- qu’il suffit de taper dans un navigateur en y ajoutant au bon endroit l’adresse de ladite victime pour avoir accès à l’intégralité des données de son compte.
Reste que cette mésaventure pourrait avoir des conséquences sonnantes et trebuchantes. Au mois d’août 2002, Microsoft a en effet signé un accord concernant Passport avec le gendarme de la concurrence aux Etats-Unis, la Fair Trade Commission (FTC), qui s'inquiétait déjà de la sécurité du service. Or selon les termes de cet accord, tout problème de sécurité pourrait valoir jusqu’à 11000 dollars à Microsoft au cas où il serait avéré qu’il n’a pas tout mis en œuvre pour l’éviter. Multipliée par les 200 millions d’utilisateurs, cette clause fait potentiellement monter les dommages à 2200 milliards de dollars. Une somme tellement irrélle que l'amende finale sera bien sûr inférieure. La FTC devrait prendre en compte la façon dont Microsoft a réagi, les mesures prises pour éviter un nouvel incident, et les désagréments endurés par les consommateurs. Dans l'urgence, Microsoft a en effet entièrement désactivé la procédure de changement de mot de passe de Passport.
Source: http://www.lexpansion.com