Coup dur pour Microsoft ?
Une faille considérée comme majeure a été
découverte récemment dans Passport, son service Web d'authentification
et d'identification unique. Une erreur qui pourrait coûter
très cher à la firme de Bill Gates... tant en termes
stratégiques que financiers.
La vulnérabilité en question offrait en
effet un accès, ouvert jusqu'il y a quelques jours,
à l'ensemble des contenus personnels gérés par la plate-forme
Passport.
Une
faille exploitable par le premier venu
Repérée
par Muhammad Faisal Rauf Danka, consultant en sécurité
pakistanais, la faille en question dont l'existence
a été dévoilée dans les
colonnes de notre confrère américain News.com
aurait été activée involontairement
par Microsoft suite à une mise à jour
de la plate-forme technique supportant Passport intervenue
en septembre 2002.
Concrètement,
elle permettait d'exploiter le mécanisme de changement
de mot de passe de l'environnement pour récupérer
les données de connexion des comptes utilisateur.
Seule condition nécessaire : posséder
les login (identifiants) correspondant à
ces derniers. Selon Muhammad Faisal Rauf Danka, la mise
en oeuvre de cette méthode serait "un véritable
jeu d'enfant". Informé du problème,
Microsoft annonçait l'activation d'un correctif
jeudi dernier en fin de journée.
Un audit serait actuellement en cours pour
mesurer l'ampleur
des dégats.
L'image
de Microsoft en pâtit
Estimés
à quelques 200 millions, l'ensemble des comptes
gérés par la solution seraient ainsi restés
accessibles au tout venant pendant plus de six mois...
Les sites rattachés à la nébuleuse
Passport ? Il s'agit d'abord des propres services
de Microsoft, principalement sa messagerie instantanée
et son Web-mail (Hotmail), mais également des
boutiques en ligne telles que eBay, Canon et Expedia,
qui l'utilisent pour gérer les données
bancaires de leurs clients, et donc en particulier des
numéros de carte bleue.
Pour Microsoft,
les conséquences de cette affaire pourraient
être nombreuses. En premier lieu, elle obligera
sans doute l'éditeur à revoir ses ambitions
sur le segment des Web Services : la société
entendait en effet faire de Passport l'une des briques
centrales de l'infrastructure de sécurité
des flux échangés par ces composants Web
(commandes, etc.) - publiés à l'aide d'interfaces
XML (SOAP/WSDL). Une vision que la faille mise à
jour dans Passport contribuera vraisemblablement à
ternir quelque peu.
La Commission
fédérale du Commerce s'en mêle
Microsoft risque également
d'être poursuivi par la Commission fédérale du Commerce
américaine (FTC) pour non-respect de la vie privée.
Suite au lancement de Passport en 2001, l'éditeur
s'était engagé auprès de la FTC à
prendre des "mesures raisonnables" pour protéger
les informations personnelles enregistrées sur
son système. C'était en août 2002.
Pour l'heure, la commission qui, notons-le, vient de lancer
sa propre enquête a déjà indiqué
que toute violation de compte entraînerait le versement
de la part de Microsoft d'une somme de 11.000 dollars.
Au vu du nombre d'utilisateurs enregistrés dans
Passport, l'enveloppe finale pourrait être lourde...
|