Le Passport de Microsoft n'était pas sécurisé

Un informaticien pakistanais a découvert une nouvelle faille dans le dispositif de Microsoft. Il suffisait d'intégrer une chaîne de caractères dans une adresse Internet donnée pour accéder aux quelque 200 millions de comptes .Net Passport.

Nouveau coup dur pour le système d'authentification en ligne de Microsoft, .Net Passport. L'éditeur de logiciels a confirmé, jeudi 8 mai, dans un communiqué, l'existence d'une nouvelle faille de sécurité dans son dispositif. Un patch a depuis été mis en place. Mais Microsoft a reconnu que près de 200 millions de comptes .Net Passport avaient pu être potentiellement exposés aux agissements de hackers ou de voleurs. Ces derniers pouvaient accèder aux comptes et emprunter l'identité des utilisateurs du service.Le plaisir de la découverte revient cette fois-ci à un consultant en informatique de Karachi (Pakistan), dont le compte Passport a été piraté. Après avoir envoyé à Microsoft quelques dizaines de mails restés sans réponse, Muhammad Faisal Rauf Danka a enquêté sur le sujet et s'est décidé à en poster les détails sur Internet.Interrogé par Associated Press, le consultant informatique a expliqué que, en incluant dans une adresse Internet donnée la chaîne de caractères ' emailpwdreset ', les pirates pouvaient accéder à n'importe quel compte Passport. Cette instruction était ordinairement utilisée par les internautes pour remettre à zéro leur compte après en avoir perdu le mot de passe.

Des failles de sécurité à répétition

Selon Adam Sohn, l'un des responsables du projet .Net Passport, la faille de sécurité existait depuis au moins septembre 2002. Par ailleurs, d'après les premières conclusions de l'enquête diligentée par Microsoft, aucune tentative de détournement de compte n'aurait eu lieu avant le mois dernier.Quoi qu'il en soit, ce nouvel épisode sonne comme un mauvais remake pour l'éditeur. Le service d'authentification en ligne est aujourd'hui utilisé par des sites tels qu'eBay, LastMinute.com, Expedia, ou Hotmail. De par ses implications, la vulnérabilité du dispositif est sous haute surveillance.L'été dernier, la Federal Trade Commission (FTC) s'était déjà penchée sur la question, après la découverte d'une énième faille de sécurité. Microsoft avait dû s'engager à protéger au mieux son programme, et à fournir tous les deux ans un rapport sur sa sécurisation, sous peine d'une amende de 11 000 dollars par infraction constatée.Rapportée au nombre de comptes enregistrés sous .Net Passport, cette amende virtuelle pourrait s'élever à 2 200 milliards de dollars. Mais il est probable qu'une fois de plus Microsoft parviendra à un accord à lamiable avec Washington.