Votre identifiant de connexion à un site Microsoft est stocké en clair

Lorsque l'on se connecte à un site Microsoft (Outlook, OneDrive, etc.), on le fait à l'aide d'une adresse mail et d'un mot de passe... Quoi de plus normal ? Mais une faille, voire une négligence de la part de Microsoft, vient d'être découverte : l'identifiant de connexion unique (le CID) est stocké en clair, sans subir le moindre chiffrement.

La faille en question a été découverte par ramen-hero, un blogueur chinois, qui l'a ensuite rapportée au site Ars Technica. En se connectant à un site Microsoft comme Outlook.com ou OneDrive, le navigateur enregistre le CID de l'utilisateur (un identifiant unique). Problème : le CID est stocké et transmis sous la forme d'un texte en clair, sans être chiffré. Une personne mal intentionnée qui analyse le trafic d'un utilisateur peut ainsi récupérer ce CID et l'utiliser à mauvais escient. S'il est impossible de trouver par ce biais les nom et mot de passe de connexion, il reste néanmoins envisageable pour un hacker de récupérer certaines informations : la photo de l'utilisateur ou son pseudo sur OneDrive. Partant de là, il peut éventuellement recouper ces informations avec d'autres, comme celles du Calendrier en ligne de Microsoft (qui est lui aussi victime du même problème de sécurité), et suivre sa victime à la trace. Et même si la connexion de l'utilisateur est protégée à l'aide d'un proxy ou rendue anonyme via le réseau TOR, il lui sera possible de continuer à le traquer à l'aide de son CID Microsoft.

En théorie, la faille découverte ici n'a rien de critique. En revanche, elle peut-être particulièrement perverse pour tracer des utilisateurs et faire du social engineering. Un porte-parole de Redmond a affirmé au site Ars Technica que le problème était connu et que Microsoft s'employait à trouver un correctif.

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
Soyez le premier à commenter
    Votre commentaire