Nouvelle faille dans Passport (ID de Microsoft)

Ce n’est pas la première fois que le service Passport de Microsoft (utilisé pour authentifier les internautes sur des centaines de sites)démontre sa vulnérabilité. Cette fois, c’est un consultant pakistanais en informatique qui a révélé la faille.

Celle-ci permet aux pirates de détourner les comptes Passport en saisissant une adresse Internet contenant la chaîne de caractères « emailpwdreset ». Cette instruction est utilisée par les clients Microsoft pour remettre à zéro leur compte en cas de perte de leur mot de passe. Informé, Microsoft affirme que tout a été fait pour trouver une solution immédiate. Mais la firme de Redmond a laissé entendre que 200 millions de comptes Passport en activité étaient potentiellement concernés. Ce sont donc des millions de données personnelles d’internautes (comptes de messageries électronique, numéros de cartes de crédit…) qui ont été exposés. Jusqu’à 2 milliards d’amende? Cette nouvelle faille ne va pas faciliter la vie de Microsoft. Le gendarme de la concurrence aux Etats-Unis, la Fair Trade Commission (FTC), s’est déjà penché sur les problèmes de sécurité du service Passport et avait conclu un accord avec Microsoft. Celui-ci incluait 11.000 dollars d’amende à chaque nouveau problème constaté. « Les enquêtes sont confidentielles, cependant nous avons des ordres concernant Microsoft et nous vérifions régulièrement que l’accord est bien respecté », a indiqué Jessica Rich, un porte-parole du bureau de protection du consommateur de la FTC. Si on suit la méthode de calcul de la FCC, cette énième faille dans Passport pourrait, dans l’absolu, coûter 2,2 milliards de dollars à la firme de Bill Gates . 4 minutes pour pirater un compte Passport

Muhammad Faisal Rauf Danka, chercheur pakistanais, constate que son compte Passport aurait subi une tentative de piratage. Une attaque sans conséquence, son compte n’a pas été ouvert, mais identique à celle rencontrée dans la foulée par l’un de ses amis. Ce qui a éveillé ses soupçons.

Il ne lui a fallu que quatre minutes, et une adresse Web intégrant l’expression « emailpwdreset« , pour accéder à n’importe quel compte Passport, et modifier le mot de passe qui lui est associé. Ne cherchez pas à reproduire l’expérience, Microsoft a fermé la faille. Mais la simplicité de la technique est très inquiétante, car elle peut laisser croire que .NET Passport est loin d’atteindre le niveau de sécurité qu’affirme Microsoft. Et n’était-elle pas déjà connue des Hackers ? Il est certain que, dans les jours à venir, les attaques risquent de se multiplier contre Passport, car l’approche favorite des pirates est de dupliquer, en la modifiant légèrement, une technique qui a fait ses preuves.