Sécurité IT : fuite d’identifiants chez Microsoft
L’alerte est lancée sur certains services en ligne de Microsoft, qui laisseraient fuiter des identifiants mettant potentiellement en danger la vie privée des utilisateurs.
Une requête DNS, le partage d’un fichier, la connexion de deux applications, l’utilisation d’un proxy… Autant d’actions qui peuvent mettre en danger la vie privée des utilisateurs sur les services en ligne de Microsoft.
L’éditeur prend au sérieux ce constat établi par un chercheur en sécurité informatique basé en Chine et vérifié par Ars Technica. Il assure « travailler à la résolution du problème ».
Mais de quel problème parle-t-on, au juste ? De l’accessibilité, en clair, d’un certain CID.
Cet identifiant unique associé à chaque compte utilisateur dans l’écosystème Microsoft est utilisé par la plupart des API de la firme. Se présentant sous la forme d’un entier représenté sur 16 caractères en notation hexadécimale, il peut permettre de récupérer… un grand nombre d’informations personnelles.
Tout se passe sur la page de connexion à Outlook.com, à OneDrive ou encore au compte Microsoft. Une requête HTTPS est envoyée vers le serveur sur lequel sont stockées les informations de profil de l’utilisateur ; notamment sa photo.
Intégré dans cette requête, le CID devient accessible à quiconque est capable d’espionner le trafic DNS ou de consulter les journaux de connexion.
Associé à des métadonnées accessibles sur différents services Microsoft, le CID permet de récupérer la photo de profil, de retrouver le nom de l’utilisateur, mais aussi de déterminer la date d’ouverture de son compte et son dernier accès.
Certaines applications sont vulnérables à travers l’une de leurs composantes. Illustration avec le calendrier sur Outlook.com : si l’utilisateur a choisi d’afficher la météo, il devient possible, pour des tiers, de déterminer sa localisation.
Un autre chercheur en sécurité a lancé un pavé dans la mare en précisant que le CID pouvait être obtenu autrement que via les requêtes DNS. Il est notamment inclus dans l’URL des fichiers partagés via OneDrive. Mais aussi accessible via l’application People pour quiconque connaît l’alias d’un compte Microsoft connecté à un compte Skype.
Le CID est aussi transmis en clair sur les services qui exploitent le protocole TLS. Le problème se situe dans la négociation de connexion (handshake), au niveau de l’extension SNI (Server Name Indication). Celle-ci permet au client d’indiquer le nom d’hôte avec lequel il tente d’établir une liaison TLS. Le serveur peut ainsi présenter plusieurs certificats pour la même adresse IP.
Le CID intéresse aussi potentiellement des agences de renseignement, qui peuvent s’en servir pour pister un utilisateur sur le réseau Internet en associant une identité à une adresse IP.
Crédit photo : wk1003mike – Shutterstock.com