Microsoft aurait à peu près 200 millions de clients à son fameux Passport. Une faille a récemment été découverte. 11 000 US$ par violation. 200 millions de personnes pouvant potentiellement être hackés. On multiplie le tout et on tombe sur la somme folle de 2,2 Billions de $. C'est l'histoire folle que nous raconte The Register. Elle est évidemment utopique (même si certains en rêveraient) mais n'en reste pas moins amusante et inquiétante à la fois.
Le célèbre Passport qui a commencé son histoire par la découverte d'une faille connaît donc une énième péripétie. Cette fois-ci, la nouvelle faille décelée mercredi soir par un Pakistanais (un ami de BHL ?) permet aux pirates de rentrer dans n'importe quel compte Passport, du moins lorsque les clients de Passport veulent recouvrer leur mot de passe et ainsi remettre à zéro leur compte. Passons les détails de cette faille, ce n'est pas le véritable sujet. Si vous voulez de plus amples informations, cliquez ici.
Ce qui nous importe ici, c'est que la FTC (Federal Trade Commission) avait, l'année dernière, été d'accord avec Microsoft pour qu'il améliore la sécurité de Passport. Ainsi, une amende de 11 000 $ par violation lui serait infligée si une nouvelle faille serait exploitée, l'importance de certains comptes Passport étant tout de même élevée.
Par conséquent, en pure théorie, Microsoft pourrait subir la plus grosse amende de l'histoire : 2,2 Billions de $ (soit 2 200 000 000 000...).
Source :
---------------------------------------------------------------
Un informaticien pakistanais a découvert une nouvelle faille dans le dispositif de Microsoft. Il suffisait d'intégrer une chaîne de caractères dans une adresse Internet donnée pour accéder aux quelque 200 millions de comptes .Net Passport.
Nouveau coup dur pour le système d'authentification en ligne de Microsoft, .Net Passport. L'éditeur de logiciels a confirmé, jeudi 8 mai, dans un communiqué, l'existence d'une nouvelle faille de sécurité dans son dispositif. Un patch a depuis été mis en place. Mais Microsoft a reconnu que près de 200 millions de comptes .Net Passport avaient pu être potentiellement exposés aux agissements de hackers ou de voleurs. Ces derniers pouvaient accèder aux comptes et emprunter l'identité des utilisateurs du service.
Le plaisir de la découverte revient cette fois-ci à un consultant en informatique de Karachi (Pakistan), dont le compte Passport a été piraté. Après avoir envoyé à Microsoft quelques dizaines de mails restés sans réponse, Muhammad Faisal Rauf Danka a enquêté sur le sujet et s'est décidé à en poster les détails sur Internet.
Interrogé par Associated Press, le consultant informatique a expliqué que, en incluant dans une adresse Internet donnée la chaîne de caractères « emailpwdreset » , les pirates pouvaient accéder à n'importe quel compte Passport. Cette instruction était ordinairement utilisée par les internautes pour remettre à zéro leur compte après en avoir perdu le mot de passe.
Des failles de sécurité à répétition
Selon Adam Sohn, l'un des responsables du projet .Net Passport, la faille de sécurité existait depuis au moins septembre 2002. Par ailleurs, d'après les premières conclusions de l'enquête diligentée par Microsoft, aucune tentative de détournement de compte n'aurait eu lieu avant le mois dernier.
Quoi qu'il en soit, ce nouvel épisode sonne comme un mauvais remake pour l'éditeur. Le service d'authentification en ligne est aujourd'hui utilisé par des sites tels qu'eBay, LastMinute.com, Expedia, ou Hotmail. De par ses implications, la vulnérabilité du dispositif est sous haute surveillance.
L'été dernier, la Federal Trade Commission (FTC) s'était déjà penchée sur la question, après la découverte d'une énième faille de sécurité. Microsoft avait dû s'engager à protéger au mieux son programme, et à fournir tous les deux ans un rapport sur sa sécurisation, sous peine d'une amende de 11 000 dollars par infraction constatée.
Rapportée au nombre de comptes enregistrés sous .Net Passport, cette amende virtuelle pourrait s'élever à 2 200 milliards de dollars. Mais il est probable qu'une fois de plus Microsoft parviendra à un accord à l'amiable avec Washington.
Source :
Le célèbre Passport qui a commencé son histoire par la découverte d'une faille connaît donc une énième péripétie. Cette fois-ci, la nouvelle faille décelée mercredi soir par un Pakistanais (un ami de BHL ?) permet aux pirates de rentrer dans n'importe quel compte Passport, du moins lorsque les clients de Passport veulent recouvrer leur mot de passe et ainsi remettre à zéro leur compte. Passons les détails de cette faille, ce n'est pas le véritable sujet. Si vous voulez de plus amples informations, cliquez ici.
Ce qui nous importe ici, c'est que la FTC (Federal Trade Commission) avait, l'année dernière, été d'accord avec Microsoft pour qu'il améliore la sécurité de Passport. Ainsi, une amende de 11 000 $ par violation lui serait infligée si une nouvelle faille serait exploitée, l'importance de certains comptes Passport étant tout de même élevée.
Par conséquent, en pure théorie, Microsoft pourrait subir la plus grosse amende de l'histoire : 2,2 Billions de $ (soit 2 200 000 000 000...).
Vous devez être connecté pour voir les liens.
---------------------------------------------------------------
Un informaticien pakistanais a découvert une nouvelle faille dans le dispositif de Microsoft. Il suffisait d'intégrer une chaîne de caractères dans une adresse Internet donnée pour accéder aux quelque 200 millions de comptes .Net Passport.
Nouveau coup dur pour le système d'authentification en ligne de Microsoft, .Net Passport. L'éditeur de logiciels a confirmé, jeudi 8 mai, dans un communiqué, l'existence d'une nouvelle faille de sécurité dans son dispositif. Un patch a depuis été mis en place. Mais Microsoft a reconnu que près de 200 millions de comptes .Net Passport avaient pu être potentiellement exposés aux agissements de hackers ou de voleurs. Ces derniers pouvaient accèder aux comptes et emprunter l'identité des utilisateurs du service.
Le plaisir de la découverte revient cette fois-ci à un consultant en informatique de Karachi (Pakistan), dont le compte Passport a été piraté. Après avoir envoyé à Microsoft quelques dizaines de mails restés sans réponse, Muhammad Faisal Rauf Danka a enquêté sur le sujet et s'est décidé à en poster les détails sur Internet.
Interrogé par Associated Press, le consultant informatique a expliqué que, en incluant dans une adresse Internet donnée la chaîne de caractères « emailpwdreset » , les pirates pouvaient accéder à n'importe quel compte Passport. Cette instruction était ordinairement utilisée par les internautes pour remettre à zéro leur compte après en avoir perdu le mot de passe.
Des failles de sécurité à répétition
Selon Adam Sohn, l'un des responsables du projet .Net Passport, la faille de sécurité existait depuis au moins septembre 2002. Par ailleurs, d'après les premières conclusions de l'enquête diligentée par Microsoft, aucune tentative de détournement de compte n'aurait eu lieu avant le mois dernier.
Quoi qu'il en soit, ce nouvel épisode sonne comme un mauvais remake pour l'éditeur. Le service d'authentification en ligne est aujourd'hui utilisé par des sites tels qu'eBay, LastMinute.com, Expedia, ou Hotmail. De par ses implications, la vulnérabilité du dispositif est sous haute surveillance.
L'été dernier, la Federal Trade Commission (FTC) s'était déjà penchée sur la question, après la découverte d'une énième faille de sécurité. Microsoft avait dû s'engager à protéger au mieux son programme, et à fournir tous les deux ans un rapport sur sa sécurisation, sous peine d'une amende de 11 000 dollars par infraction constatée.
Rapportée au nombre de comptes enregistrés sous .Net Passport, cette amende virtuelle pourrait s'élever à 2 200 milliards de dollars. Mais il est probable qu'une fois de plus Microsoft parviendra à un accord à l'amiable avec Washington.
Vous devez être connecté pour voir les liens.