Microsoft prévenu des failles du Portefeuille Passport

Cloud

En plein déploiement de .Net My Services, un informaticien est parvenu à contourner les protections du « Portefeuille » de Microsoft. Alertée par l’auteur, la firme de Bill Gates a depuis sécurisé son service, mais les numéros de cartes bancaires et les adresses de ses utilisateurs auraient pu finir dans la nature. Une mauvaise expérience qui plaide pour davantage de précautions.

De l’aveu même du responsable marketing de la division développeurs .Net Microsoft France, « heureusement qu’il n’y a pas eu de chantage ». Alain Le Hegarat est forcé de se rendre à l’évidence : « Cela révèle le besoin d’une sécurisation plus forte. » Et pour cause : Marc Slemko, un développeur de la région de Seattle, est parvenu à mettre au point une méthode permettant d’avoir accès aux informations stockées dans le « Portefeuille » du service Passport de Microsoft. Ce dernier enregistre les numéros de cartes bancaires de ses utilisateurs ainsi que les adresses de facturation et de livraison. Le but étant de faciliter les achats auprès de sites de commerce en ligne partenaires, près de 250 environ, dont aucun français (voir la liste fournie par Microsoft). Pour autant, le service est disponible aux habitants de l’Hexagone et leur Portefeuille était autant concerné que celui des Américains. Une fois sa méthode au point, l’informaticien a prévenu Microsoft qui a tôt fait de sécuriser son service.

« A notre connaissance, aucune donnée d’utilisateur n’a été dérobée », affirme Alain Le Hegarat qui explique que Marc Slemko a « tiré parti d’un certain nombre de failles qui existaient dans plusieurs outils pour pirater les données stockées dans My Wallet [l’appellation anglo-saxonne du ‘Portefeuille’, ndlr] « . L’auteur décrit sa méthode par le détail ainsi que les réactions de Microsoft sur une page disponible en ligne. « C’est une combinaison de plusieurs démarches », explique Alain Le Hegarat qui schématise la méthode employée : « Elle met en oeuvre un e-mail Hotmail nocif, qui redirige vers le site du ‘pirate’, lequel pilote ensuite le navigateur afin de récupérer les cookies Passport. » De là, l’auteur a « la possibilité de collecter les informations personnelles contenues dans My Wallet«  en se faisant passer pour l’utilisateur. « En sécurité, on appelle ça ‘Man in the middle' », explique Alain Le Hegarat, « le pirate se place entre l’utilisateur et le serveur ». Il juge Marc Slemko « adroit » et qualifie sa méthode d’« assez sophistiquée ».

Fragile équilibre entre sécurité et facilité d’utilisation

Pour le responsable .Net chez Microsoft France, la « démarche » prouve que « l’authentification a des limites », même si elle reste acceptable pour des « données faiblement confidentielles ». Et Alain Le Hegarat de citer les « systèmes employant des cartes à puce », d’évoquer une collaboration avec Verisign pour implémenter l’utilisation d’un système dit à « clé publique » ou encore de la « la biométrie ». Des systèmes offrant plus de sécurité mais qui risquent de lier l’utilisateur à sa seule machine, alors que l’un des avantages de .Net My Services est justement d’être disponible depuis n’importe quel accès Internet. Alain Le Hegarat acquiesce : « C’est un compromis entre sensibilité [des données] et sécurité ». Un équilibre délicat dans lequel Microsoft semble avoir un peu trop fait pencher la balance vers la facilité d’utilisation. L’éditeur n’aurait-il pas mieux fait d’attendre le déploiement des solutions citées plus haut avant de rendre le service accessible ? « Personnellement, je pense qu’il ne faut pas passer dans un mode attentiste », juge Alain Le Hegarat, précisant qu’il ne confie que son « point de vue personnel ». Cherchant visiblement à relativiser la portée de l’incident, il souligne que le service Portefeuille de Microsoft n’offre qu’« une facilité basique aux internautes », ajoutant même qu’il s’agit d’une « offre pauvre ». D’où, d’après lui, l’« intérêt pour une solution plus sécurisée » qui serait développée avec des partenaires spécialistes, « comme les travaux lancés cet été avec Verisign pour l’utilisation d’une clé publique. » En attendant leur déploiement, les utilisateurs jugeront s’il est bien prudent de confier ses données à Microsoft.