Le Passport de Microsoft n'était pas sécurisé

09/05/2003 à 19h40

Un informaticien pakistanais a découvert une nouvelle faille dans le dispositif de Microsoft. Il suffisait d'intégrer une chaîne de caractères dans une adresse Internet donnée pour accéder aux quelque 200 millions de comptes .Net Passport.

Nouveau coup dur pour le système d'authentification en ligne de Microsoft, .Net Passport. L'éditeur de logiciels a confirmé, jeudi 8 mai, dans un communiqué, l'existence d'une nouvelle faille de sécurité dans son dispositif. Un patch a depuis été mis en place. Mais Microsoft a reconnu que près de 200 millions de comptes .Net Passport avaient pu être potentiellement exposés aux agissements de hackers ou de voleurs. Ces derniers pouvaient accèder aux comptes et emprunter l'identité des utilisateurs du service.Le plaisir de la découverte revient cette fois-ci à un consultant en informatique de Karachi (Pakistan), dont le compte Passport a été piraté. Après avoir envoyé à Microsoft quelques dizaines de mails restés sans réponse, Muhammad Faisal Rauf Danka a enquêté sur le sujet et s'est décidé à en poster les détails sur Internet.Interrogé par Associated Press, le consultant informatique a expliqué que, en incluant dans une adresse Internet donnée la chaîne de caractères ' emailpwdreset ', les pirates pouvaient accéder à n'importe quel compte Passport. Cette instruction était ordinairement utilisée par les internautes pour remettre à zéro leur compte après en avoir perdu le mot de passe.

Des failles de sécurité à répétition

Selon Adam Sohn, l'un des responsables du projet .Net Passport, la faille de sécurité existait depuis au moins septembre 2002. Par ailleurs, d'après les premières conclusions de l'enquête diligentée par Microsoft, aucune tentative de détournement de compte n'aurait eu lieu avant le mois dernier.Quoi qu'il en soit, ce nouvel épisode sonne comme un mauvais remake pour l'éditeur. Le service d'authentification en ligne est aujourd'hui utilisé par des sites tels qu'eBay, LastMinute.com, Expedia, ou Hotmail. De par ses implications, la vulnérabilité du dispositif est sous haute surveillance.L'été dernier, la Federal Trade Commission (FTC) s'était déjà penchée sur la question, après la découverte d'une énième faille de sécurité. Microsoft avait dû s'engager à protéger au mieux son programme, et à fournir tous les deux ans un rapport sur sa sécurisation, sous peine d'une amende de 11 000 dollars par infraction constatée.Rapportée au nombre de comptes enregistrés sous .Net Passport, cette amende virtuelle pourrait s'élever à 2 200 milliards de dollars. Mais il est probable qu'une fois de plus Microsoft parviendra à un accord à lamiable avec Washington.

Philippe Crouzillacq

Votre opinion

73 opinions

abdel8383838 02/12/2006 à 11h01

salut jemeré retrouvermon mot de passe demon ancien adresse c chouchane_83@hotmail.fr merci de melenvoyer le plus vite merci
dadisterik 14/11/2006 à 10h39

0
lionel_ 05/11/2004 à 15h11

Voici mon site ;
www.tout-le-discount.new.fr
vous pourrez trouver tout ce que vous chercher au meilleur prix et aussi la possibilité de gagner pas mal d'argent juste en surfant et enfin proposer a un robot de vous inscrire a plus de 3500 jeux a l'année pour une modique somme d(argent merci de me dire se que vous en penser
matjdn 16/05/2003 à 12h29

Il est certain que les jeunes embauchés sont déjà beaucoup moins conditionnés à Windows, et plus ouverts sur linux. Il y a un effet de "masse critique" qui pourrait être atteinte par linux.

Un autre point qui nous pousse à réfléchir à linux : W2000 et ActiveDirectory. Les domaines NT sont censés disparaître au profit de cette "nouvelle technologie", séduisante mais extrêmement propriétaire... et pour éviter de rentrer à nouveau dans un système "captif", la réflexion est intense autour du libre !

Voilà où peuvent en être ces réflexions. Je crois qu'il faut être pragmatique et envisager des migrations vers le logiciel libre sans oublier de prévoir et de prendre en compte toutes les conséquences dans une entreprise.

Pour ma part, d'un point de vue personnel, je ne suis pas un informaticien "pur et dur". Disons que l'informatique m'intéresse et constitue l'objet de mon emploi. Sur mon ordinateur "à la maison", j'ai depuis son achat Windows98 avec toute la panoplie Office, fourni avec l'ordinateur. Depuis quelques mois, comme on s'intéresse à Linux sur mon lieu de travail, j'ai installé chez moi un double boot windows/linux redhat. Au début, j'étais perplexe, et j'ai passé un peu de temps à trouver les équivalents logiciels libres les plus séduisants, et maintenant je trouve que c'est satisfaisant ; toutes les fonctionnalités que j'ai sur windows sont disponibles sur linux ; je ne boote guère plus sur Windows. Le niveau de convivialité offert par certaines distributions de linux est sérieusement honorable !

A bientôt,

matjdn
matjdn 16/05/2003 à 12h28

- développer un pôle de compétence spécialisé soutien utilisateur linux en interne
- migrer les applications "métiers" ayant des interfaces Windows, ou basés sur des appartenances à des domaines NT, etc. Pour certaines choses, on peut imaginer des solutions de type "Wine" mais c'est (à mon avis) pas souhaitable à long terme. [N'ayant pas expérimenté ce type de solution, est-ce que c'est utilisable par un utilisateur lambda, ou faut-il être spécialiste acharné ? Merci de me donner des éléments de réponse non partisans !]
- convaincre le plus haut niveau de la hiérarchie du bien-fondé de la démarche. Le meilleur argument, c'est l'économie du prix des licences. La difficulté à convaincre viendra de toutes ces questions préalables sur la formation, la migration des logiciels, etc. La comparaison se fera à "coûts complets", c'est à dire en comparant le coût économisé sur les licences au coût des compétences à acquérir et de migration. Le retour sur investissement ne devra pas paraître trop tardif pour que ça passe !
matjdn 16/05/2003 à 12h26

Maintenant, pour une entreprise, ou une administration, il faut voir quel OS, pour quel usage, à quel prix, etc. Dans un premier temps, il faut se poser la question de l'état actuel du parc informatique. Là où je suis, les utilisateurs ont des PC sous Windows (et... toute la panoplie : 95 [encore !], 98, NT, 2000, et XP.. il n'ya plus de 3.11, enfin je ne crois pas !). Si nous décidons de migrer vers linux, dans l'objectif clairement annoncé de faire des économies (100.000 postes x 1 licence = beaucoup d'argent du contribuable pour microsoft...), voilà les pré-requis :
- décider quelle distribution, voire quasiment en "créer" une à partir d'une distrib' existante, en s'assurant de la compatibilité de quasiment tout le matériel (pour la compatibilité, ça ne me préoccupe pas trop). Et puis pas question de laisser chaque utilisateur choisir ou bidouiller, pour des questions d'administration des machines ou de support technique des utilisateurs.
- développer les compétences et le savoir faire sur linux pour les utilisateurs "lambda" (oh, je sais, certains rétorqueront qu'il n'y a pas grand chose à savoir de plus que windows pour l'utilisateur lambda, mais il faudra quand même expliquer que pour aller sur internet, ce n'est plus le grand "e" bleu de explorer... ). En bref, il faudra prévoir ne serait-ce qu'une demi-journée ou une journée "d'acclimatation" (certains diraient de désintoxication) pour tous les agents... ce qui n'est pas un mince investissement.
- développer les compétences des spécialistes réseaux, des développeurs etc... (et oui, on peut être "spécialiste réseau" et n'avoir que des systèmes Microsoft...) : il faut oublier les systèmes basés sur les domaines NT/exchange etc...
matjdn 16/05/2003 à 12h25

Bonjour,

A lire le débat opposant utilisateurs de Windows et de Linux, je me demande ce qui justifie une telle violence ???!!!
-Windows est une magnifique réussite commerciale sur un produit que l'on peut décrier (car, objectivement, les défauts sont nombreux). Cela dit, ça permet quand même de faire pas mal de choses, même s'il faut réinitialiser le système de temps en temps. Le plus gênant peut-être, ce sont les failles de sécurité dans cet OS qui est utilisé par un public peu ou non averti de l'existence de ces failles. M'enfin bon, la domination de Windows est telle, notamment sur les OS préinstallés, qu'il est difficile de faire sans.
- Linux est une magnifique réussite technique, voire philosophique : en utilisant linux, on a l'impression de rentrer dans un monde où le profit financier n'est pas le seul objectif. C'est une sorte de monde de liberté, ou on fait un peu "ce qu'on veut sur sa machine" : on a le choix, si on aime la ligne de commande, on fait de la ligne de commande ; si on préfère, on utilise les interfaces graphiques pour paramétrer le système...

La concurrence qui apparaît aujourd'hui est extrêmement profitable aux deux systèmes. D'un côté, les critiques mettent Microsoft au pied du mur pour qu'il améliore les performances de ses systèmes (bon, je ne crois pas qu'on aura un système parfait, mais ça va plutôt dans le bon sens). De l'autre côté, les critiques ont rendu linux nettement plus accessibles au commun des mortels.
pelo_ 14/05/2003 à 18h08

je lis des videos en ligne de commande et la video apparait sur la ligne de commande avec des belles couleurs et je peux lire des divx et tout et tout... mais tu ne peux pas le savoir vu que tu ne connais que WMI et WSH. Définitivement tu l'es encore plus car comme tous les autres tu baves alors que tu n'y connais rien.
zz_ 14/05/2003 à 17h40

Je cite: "il y a une différence notable en linux et win c'est que sous linux la ligne de commande est très puissante(on peut tout faire avec graver, lire des videos...) "
Reponse :
Toi tocard tu li les vidéos en ligne de commande ??
ça fait koi ? des caracteres ascii ??
LoL
Pour la ligne de commande tu ne doit pas connaitre WMI et WSH.... Non tu es definitivement trop con...
chiebel 13/05/2003 à 12h31

Si vous perdez vos données c'est bien fait pour vous : quel que soit l'OS (et le PC) ça peut planter
Donc faites des sauvegardes c'est comme une assurance : c'est trop cher avant l'accident.
Ceci dit j'ai connu un fichier .doc qui plantait word et qu'on a récupéré par Open Office ...

Lire la suite des opinions (73)