Coup dur pour le Passport de Microsoft
Passport, le service d’identification en ligne de Microsoft, se retrouve encore une fois sous le feu des critiques. L’Electronic privacy information center (Epic) adresse une lettre aux procureurs généraux des cinquante Etats américains en leur demandant d’enquêter sur les violations de la vie privée liées au service. Et comme pour l’illustrer, un bogue a justement touché le système en début de semaine.
Pagaille sur les serveurs de Microsoft en début de semaine. Les internautes se connectant directement à leur messagerie Hotmail depuis la MSN Gaming Zone se sont en effet vus redirigés vers une seule et même boîte e-mail, celle correspondant à l’adresse « customer!@hotmail.com ». Il y a ceux qui se sont alors déconnectés du système d’authentification pour se connecter à nouveau et retrouver leur propre boîte de messagerie, il y a ceux qui ne se sont rendu compte de rien et il y a ceux qui n’ont pas compris ce qui se passait. Résultat : les « informations personnelles » liées à la messagerie ont été remises à jour consciencieusement par certains surpris de ne pas voir apparaître leurs nom, coordonnées et autres, de même pour le carnet d’adresses ; des brouillons et messages envoyés ont petit à petit peuplé la messagerie, e-mails rédigés par ceux qui pensaient être sur leur compte malgré une signature automatique inconnue. Bref, une belle pagaille qui fait désordre alors que Microsoft cherche à tout prix à convaincre de la sécurité des données confiées à son système Passport. Ce dernier permet en effet une identification unique (login + mot de passe) en accédant à un service Microsoft, pour assurer ensuite la transition entre les différents sites de Microsoft et de ses partenaires commerciaux sans nécessiter de nouvelle authentification. Cela permet notamment d’effectuer des achats sans avoir à saisir à chaque fois son numéro de carte bancaire. Et normalement de consulter directement sa boîte e-mail quand on est connecté à la MSN Gaming Zone…
L’incident en lui-même ne porte pas à conséquence, du moins l’accès au « Portefeuille » qui stocke les numéros de cartes de crédit n’était pas possible, c’est déjà ça. Il y a de fortes chances pour que cette déconvenue soit liée à l’implémentation récente du système Passport sur la MSN Gaming Zone. Lors du lancement en décembre dernier, certains utilisateurs n’ont pas pu accéder à leur compte durant plusieurs jours. Cette fois-ci, la défaillance aurait subsisté près de trois jours. Si les conséquences sont minimes, en revanche l’incident vient appuyer à point nommé les critiques formulées à l’encontre de Passport. Ce 29 janvier, l’Electronic privacy information center (Epic) a en effet adressé une lettre sur le sujet aux cinquante procureurs généraux des Etats américains. D’après l’organisation de défense de la vie privée qui se bat depuis de longs mois sur ce terrain, Passport et les systèmes associés « collectent de manière déloyale et trompeuse les informations personnelles et exposent les consommateurs à la mise à disposition, à la vente et au vol de celles-ci ». L’Epic a déjà saisi la Federal trade commission (FTC) à deux reprises afin qu’elle enquête sur le sujet, « mais la commission n’a pas agi », déplore-t-elle dans son courrier avant d’expliquer aux procureurs généraux : « Pour cette raison, nous vous encourageons à instruire une enquête sous votre autorité statutaire. » N’obtenant pas de réponse fédérale, elle cherche à en obtenir une au niveau de chaque Etat.
Microsoft montré du doigt par l’Epic
Très inquiète de l’importance qu’acquiert le service de Microsoft (notamment grâce à son utilisation avec Hotmail et aux renvois depuis Windows XP), l’Epic souligne que l’éditeur « a déjà délivré plus de 200 millions de comptes Passport ». Elle met en cause des « risques liés à la sécurité et au respect de la vie privée » : en particulier la création d’une carte d’identité numérique des internautes à leur insu, l’augmentation du nombre d’e-mails commerciaux non sollicités et enfin le vol des informations relatives aux cartes bancaires fournies par les utilisateurs. Elle ne manque d’ailleurs pas de rappeler aux procureurs généraux qu’en novembre dernier, « un programmeur a démontré la présence d’une faille sérieuse dans le service Portefeuille de Passport ». L’Epic soulève également un point rarement abordé : « Microsoft n’offre aucun moyen d’effacer les données d’enregistrement Passport », note-t-elle. La firme de Bill Gates n’a pas encore réagi mais une chose est certaine : elle se serait bien passé de toute cette publicité.