Sécurité
Microsoft: une faille logicielle met le projet Passport en difficulté
Une faille découverte dans son service Web d'identification et d'authentification unique pourrait coûter très cher à la firme de Redmond.  (Lundi 12 mai 2003)
En savoir plus
Coup dur pour Microsoft ? Une faille considérée comme majeure a été découverte récemment dans Passport, son service Web d'authentification et d'identification unique. Une erreur qui pourrait coûter très cher à la firme de Bill Gates... tant en termes stratégiques que financiers.

La vulnérabilité en question offrait en effet un accès, ouvert jusqu'il y a quelques jours, à l'ensemble des contenus personnels gérés par la plate-forme Passport.

Une faille exploitable par le premier venu
Repérée par Muhammad Faisal Rauf Danka, consultant en sécurité pakistanais, la faille en question dont l'existence a été dévoilée dans les colonnes de notre confrère américain News.com aurait été activée involontairement par Microsoft suite à une mise à jour de la plate-forme technique supportant Passport intervenue en septembre 2002.

Concrètement, elle permettait d'exploiter le mécanisme de changement de mot de passe de l'environnement pour récupérer les données de connexion des comptes utilisateur. Seule condition nécessaire : posséder les login (identifiants) correspondant à ces derniers. Selon Muhammad Faisal Rauf Danka, la mise en oeuvre de cette méthode serait "un véritable jeu d'enfant". Informé du problème, Microsoft annonçait l'activation d'un correctif jeudi dernier en fin de journée. Un audit serait actuellement en cours pour mesurer l'ampleur des dégats.

L'image de Microsoft en pâtit
Estimés à quelques 200 millions, l'ensemble des comptes gérés par la solution seraient ainsi restés accessibles au tout venant pendant plus de six mois...

Les sites rattachés à la nébuleuse Passport ? Il s'agit d'abord des propres services de Microsoft, principalement sa messagerie instantanée et son Web-mail (Hotmail), mais également des boutiques en ligne telles que eBay, Canon et Expedia, qui l'utilisent pour gérer les données bancaires de leurs clients, et donc en particulier des numéros de carte bleue.

Pour Microsoft, les conséquences de cette affaire pourraient être nombreuses. En premier lieu, elle obligera sans doute l'éditeur à revoir ses ambitions sur le segment des Web Services : la société entendait en effet faire de Passport l'une des briques centrales de l'infrastructure de sécurité des flux échangés par ces composants Web (commandes, etc.) - publiés à l'aide d'interfaces XML (SOAP/WSDL). Une vision que la faille mise à jour dans Passport contribuera vraisemblablement à ternir quelque peu.

En savoir plus
La Commission fédérale du Commerce s'en mêle
Microsoft risque également d'être poursuivi par la Commission fédérale du Commerce américaine (FTC) pour non-respect de la vie privée. Suite au lancement de Passport en 2001, l'éditeur s'était engagé auprès de la FTC à prendre des "mesures raisonnables" pour protéger les informations personnelles enregistrées sur son système. C'était en août 2002.

Pour l'heure, la commission qui, notons-le, vient de lancer sa propre enquête a déjà indiqué que toute violation de compte entraînerait le versement de la part de Microsoft d'une somme de 11.000 dollars. Au vu du nombre d'utilisateurs enregistrés dans Passport, l'enveloppe finale pourrait être lourde...

 
 
[Antoine Crochet-Damais, JDNet]
 
 
Accueil | Haut de page
 
 

  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Toutes nos newsletters