Faille dans MS Passport(tm)

Posté par  (site web personnel) . Modéré par Fabien Penso.
Étiquettes :
0
6
nov.
2001
Microsoft
A peine le nouveau système d'authentification de Microsoft, Passport, dévoilé, que déjà un développeur américain vient de trouver une faille assez succulente dans Passport. Le principe constiste à envoyer un email à un utilisateur de Hotmail contenant du JavaScript simulant un message Hotmail qui re-demande à l'utilisateur son mot de passe et qui l'envoie dans la base de données du pirate. Cela n'est pas bien nouveau, c'est une "fonctionnalité" des emails en HTML.
Mais le problème, c'est qu'une nouvelle fonctionnalité de Windows XP, baptisée "Wallet", permet d'enregistrer son numéro de carte de crédit dans le système et de s'en servir pour effectuer des achats plus rapidement. Le pirate, une fois en possession du mot de passe peut alors tranquillement effectuer ses achats sur les sites Passport avec votre n° de carte bleue... Rassurant, non ?

Aller plus loin

  • # Dangereux tout ça

    Posté par  (site web personnel) . Évalué à 9.

    Je ne connais pas bien les règles aux EU mais sachez qu'en france si une boutique dépasse un certains taux d'impayés elle n'a plus le droit de faire de la VPC.

    Si des pirates arrivent à récupérer aussi simplement des numéros de CB ils ponctionneront les comptes des pauvres utilisateurs mais aussi, quand ces utilisateurs porteront plainte, augmenteront le taux d'impayés et donc les sites seront contraint de fermer.

    Si microsoft n'améliore pas la sécurité de passport, celui ci disparaitra de lui même car peronne ne lui fera confiance que ce soit les boutiques ou les particuliers.

    C'est la revanche de la technique ;)

    • [^] # Re: Dangereux tout ça

      Posté par  (site web personnel, Mastodon) . Évalué à 2.

      Peut-être...
      Mais comment différencier les achats venant de clients Passport, si le site n'y adhère pas et que le code est rentré manuellement ???

      • [^] # Re: Dangereux tout ça

        Posté par  (site web personnel) . Évalué à 3.

        Euh, je ne vois pas ce que tu veux dire. A priori, sur les sites qui n'y adherent pas la transaction n'a aucun rapport avec passport donc on s'en fout.

        • [^] # Re: Dangereux tout ça

          Posté par  (site web personnel, Mastodon) . Évalué à 9.

          Parce que les sites marchands se retrouveront avec des numéros de cartes valides mais volés à cause de XP/Passport, sans pouvoir les différencier.
          Ils se retrouvent avec des oppositions, donc forcément des impayés.
          Voilà pourquoi. Si l'achat se fait via Passport, c'est l'assurance de Microsoft qui devrait payer.

  • # news mmedium

    Posté par  (site web personnel) . Évalué à -3.

    Il y a une news sur multimedium qui vient juste de passer: http://linuxfr.org/2001/11/06/5804,0,1,0,0.html(...)

  • # toujours la meme histoire...

    Posté par  . Évalué à 3.

    pour recuperer un n° de carte bleu, c'est plus rapide de faire les poubelles pres du distributeur en bas de chez soi
    En plus, la "faille" n'est pas vraiment une faille...il suffit de trouver un mytho a faire avaler aux utilisateurs de win

  • # C'est normal c'est la version 1

    Posté par  . Évalué à 2.

    Passport ne sera pas probablement pas utilisable avant la version 3 ou 4 (j'ai écrit -utilisable- pas -sécurisé-) tout comme l'ont été avant lui Internet Explorer, Windows NT.et autres logiciels de la firme de Redmont.



    .



    Pour le moment tout le monde se moque de Passport et de ses problèmes, mais dans 5 ans, il sera peut être devenu obligatoire pour tout achat sur Internet. (Imaginons : Microsoft touchera peut être quelques centimes sur TOUS les achats en ligne, comme le fait actuellement le GIE CB pour les paiements par carte bancaire). La taxe internet, une idée brillante encore plus lucrative que l "impôt sur les ordinateurs".

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.