Microsoft se fait tirer son passeport...
Depuis des mois, Microsoft annonce la sortie de Passport, sa solution miracle pour que les internautes conservent toutes leurs données personnelles chez... Microsoft. Y compris leur numéro de carte bancaire et leur adresse de livraison, histoire de mieux acheter d’un seul clic de souris. Toutes les associations liées à la protection de la vie privée s’émeuvent de voir le géant du logiciel se positionner sur ce terrain. Certaines notent, par ailleurs, qu’avec ce système d’identification auprès des sites web payant visités, Microsoft pourrait ainsi bénéficier à bon compte de fichiers marketing fort intéressants.
La firme de Redmond nie bien sûr avoir de telles intentions. Et promet une totale sécurité pour ceux qui opteront pour son système. Manque de chance : un hacker a trouvé une faille dans Passport. Et ce alors que l’entreprise de Bill Gates se prépare justement à aller parler de sécurité, la semaine prochaine, avec les autres sociétés du secteur informatique au sein de la Conférence "Trusted Computing Forum", en Californie. (Le thème principal est, grosso modo : "comment étouffer le concept de full disclosure", une démarche consistant à publier toutes les failles trouvées. Microsoft met facilement sur de dos de cette pratique les problèmes de sécurité que connaissent ses produits. Pourtant, les défauts des logiciels mis sur le marché par l’éditeur sont bien réels et préexistent aux alertes de sécurité diffusées dans, par exemple, Bugtraq.)
File ton cookie !
Que s’est-il passé exactement ? Mark Slemko, un hacker américain, a trouvé le moyen d’accéder aux données liées à la carte bancaire des utilisateurs de Passport, via un mail envoyé à leur adresse Hotmail (un compte passport est associé à l’adresse électronique chez Hotmail). Le barbotage se réalise via des cookies. Bilan : Microsoft a coupé l’accès à ses serveurs Passport pendant deux jours ce week-end, histoire de résoudre le problème.
La semaine dernière pourtant, tout semblait rose pour Microsoft et son produit. La banque en ligne Egg (www.egg.com) annonçait qu’elle choisissait Passport pour l’identification de ses clients et abandonnait sa solution actuelle (Entrust).
L’annonce avait déjà déclenché quelques réactions acides à propos des problèmes de sécurité que cela allait entraîner. Microsoft est au centre de nombreuses discussions actuellement à propos des failles béantes de sécurité dans certains de ses logiciels. Le Gartner Group rendait, il y a peu, un rapport dans lequel ses consultants mettaient en doute l’intérêt d’installer IIS, le serveur web de Microsoft, en raison de sa porosité. Les récentes déferlantes de vers comme Code Red et Nimd, qui permettent de pirater les entreprises utilisant IIS, laissent pantois les experts en sécurité. L’année dernière, des hackers de haut vol avaient même réussi à s’infiltrer au sein du réseau interne de Microsoft...