{"id":1502,"date":"2003-05-10T22:41:33","date_gmt":"2003-05-10T20:41:33","guid":{"rendered":"https:\/\/destinationcyber.com\/?p=1502"},"modified":"2003-05-10T22:41:33","modified_gmt":"2003-05-10T20:41:33","slug":"microsoft-une-faille-logicielle-met-le-projet-passport-en-difficulte","status":"publish","type":"post","link":"https:\/\/destinationcyber.com\/?p=1502","title":{"rendered":"Microsoft: une faille logicielle met le projet Passport en difficult\u00e9"},"content":{"rendered":"

Coup dur pour Microsoft ? Une faille consid\u00e9r\u00e9e comme majeure a \u00e9t\u00e9 d\u00e9couverte r\u00e9cemment dans Passport, son service Web d’authentification et d’identification unique.<\/p>\n

Une erreur qui pourrait co\u00fbter tr\u00e8s cher \u00e0 la firme de Bill Gates… tant en termes strat\u00e9giques que financiers.<\/p>\n

La vuln\u00e9rabilit\u00e9 en question offrait en effet un acc\u00e8s, ouvert jusqu’il y a quelques jours, \u00e0 l’ensemble des contenus personnels g\u00e9r\u00e9s par la plate-forme Passport. <\/p>\n

Une faille exploitable par le premier venu
\nRep\u00e9r\u00e9e par Muhammad Faisal Rauf Danka, consultant en s\u00e9curit\u00e9 pakistanais, la faille en question dont l’existence a \u00e9t\u00e9 d\u00e9voil\u00e9e dans les colonnes de notre confr\u00e8re am\u00e9ricain News.com aurait \u00e9t\u00e9 activ\u00e9e involontairement par Microsoft suite \u00e0 une mise \u00e0 jour de la plate-forme technique supportant Passport intervenue en septembre 2002.<\/p>\n

Concr\u00e8tement, elle permettait d’exploiter le m\u00e9canisme de changement de mot de passe de l’environnement pour r\u00e9cup\u00e9rer les donn\u00e9es de connexion des comptes utilisateur. Seule condition n\u00e9cessaire : poss\u00e9der les login (identifiants) correspondant \u00e0 ces derniers. Selon Muhammad Faisal Rauf Danka, la mise en oeuvre de cette m\u00e9thode serait \u00ab\u00a0un v\u00e9ritable jeu d’enfant\u00a0\u00bb. Inform\u00e9 du probl\u00e8me, Microsoft annon\u00e7ait l’activation d’un correctif jeudi dernier en fin de journ\u00e9e. Un audit serait actuellement en cours pour mesurer l’ampleur des d\u00e9gats. <\/p>\n

L’image de Microsoft en p\u00e2tit
\nEstim\u00e9s \u00e0 quelques 200 millions, l’ensemble des comptes g\u00e9r\u00e9s par la solution seraient ainsi rest\u00e9s accessibles au tout venant pendant plus de six mois… <\/p>\n

Les sites rattach\u00e9s \u00e0 la n\u00e9buleuse Passport ? Il s’agit d’abord des propres services de Microsoft, principalement sa messagerie instantan\u00e9e et son Web-mail (Hotmail), mais \u00e9galement des boutiques en ligne telles que eBay, Canon et Expedia, qui l’utilisent pour g\u00e9rer les donn\u00e9es bancaires de leurs clients, et donc en particulier des num\u00e9ros de carte bleue.<\/p>\n

Pour Microsoft, les cons\u00e9quences de cette affaire pourraient \u00eatre nombreuses. En premier lieu, elle obligera sans doute l’\u00e9diteur \u00e0 revoir ses ambitions sur le segment des Web Services : la soci\u00e9t\u00e9 entendait en effet faire de Passport l’une des briques centrales de l’infrastructure de s\u00e9curit\u00e9 des flux \u00e9chang\u00e9s par ces composants Web (commandes, etc.) – publi\u00e9s \u00e0 l’aide d’interfaces XML (SOAP\/WSDL). Une vision que la faille mise \u00e0 jour dans Passport contribuera vraisemblablement \u00e0 ternir quelque peu.<\/p>\n

La Commission f\u00e9d\u00e9rale du Commerce s’en m\u00eale
\nMicrosoft risque \u00e9galement d’\u00eatre poursuivi par la Commission f\u00e9d\u00e9rale du Commerce am\u00e9ricaine (FTC) pour non-respect de la vie priv\u00e9e. Suite au lancement de Passport en 2001, l’\u00e9diteur s’\u00e9tait engag\u00e9 aupr\u00e8s de la FTC \u00e0 prendre des \u00ab\u00a0mesures raisonnables\u00a0\u00bb pour prot\u00e9ger les informations personnelles enregistr\u00e9es sur son syst\u00e8me. C’\u00e9tait en ao\u00fbt 2002.<\/p>\n

Pour l’heure, la commission qui, notons-le, vient de lancer sa propre enqu\u00eate a d\u00e9j\u00e0 indiqu\u00e9 que toute violation de compte entra\u00eenerait le versement de la part de Microsoft d’une somme de 11.000 dollars. Au vu du nombre d’utilisateurs enregistr\u00e9s dans Passport, l’enveloppe finale pourrait \u00eatre lourde…<\/p>\n

[source – journaldunet.com] Antoine Crochet-Damais <\/p>\n","protected":false},"excerpt":{"rendered":"

Coup dur pour Microsoft ? Une faille consid\u00e9r\u00e9e comme majeure a \u00e9t\u00e9 d\u00e9couverte r\u00e9cemment dans Passport, son service Web d’authentification et d’identification unique.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_citadela_custom_class":"","footnotes":""},"categories":[15],"tags":[],"class_list":["post-1502","post","type-post","status-publish","format-standard","hentry","category-securite"],"_links":{"self":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/posts\/1502","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1502"}],"version-history":[{"count":0,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/posts\/1502\/revisions"}],"wp:attachment":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1502"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1502"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1502"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}