Vulnérabilités
Utilisateurs de MSN Messenger, on vous observe...
Par Jerome Saiz, le 05 fév 2002 à 10:30:00.
Microsoft a placé un mouchard dans son logiciel de discussion MSN Messenger. L'éditeur est capable de connaître le nom et l'adresse email de l'utilisateur du produit et de ses amis, lorsqu'il se connecte sur son site ou sur hotmail.com. Hélas, une faille dans cette porte dérobée permet également à n'importe quel site web d'en faire autant.
En piégeant son logicel MSN Messenger, Microsoft s'est arrogé le droit de connaître le pseudonyme et l'adresse email des utilisateurs de son logiciel, et de leurs amis. Sans bien sûr le leur demander. Ainsi, à chaque visite sur les sites Microsoft.com, Hotmail.com et Hotmail.msn.com, l'internaute est-il épié, sa liste de contacts MSN Messenger observée et les adresses email de tout ce petit monde accessibles à l'éditeur. De quoi faire se pâmer d'aise les sbires du marketing de l'éditeur, qui peuvent ainsi suivre nominativement les allées et venues d'un internaute, connaître ses centres d'intérêts et associer le tout immédiatement à une adresse réelle.
Mais aussi dérangeante que soit cette révélation, ce n'est que la partie bénigne de l'affaire révélée par l'anglais Richard Burton. Ce dernier a en effet découvert qu'il suffit à n'importe quelle application de modifier une valeur de la base de registre du PC afin de donner à n'importe quel site les mêmes prérogatives que celles de Microsoft. Cette clef,
HKEY_LOCAL_MACHINE#SOFTWARE#Microsoft#MessengerService#Policies#Suffixes, liste les sites web autres que ceux de Microsoft capables d'espionner l'internaute via MSN Messenger. Elle est vide par défaut, mais n'importe qui peut la remplir à la faveur d'une installation de logiciel.Afin de se protéger des yeux indiscrets, il est conseillé de ne jamais fournir son adresse email lorsqu'un produit le demande (généralement à l'installation) et de ne pas utiliser les produits d'un seul et même éditeur. Ainsi, en utilisant, par exemple, le Yahoo! Messenger, un compte courrier chez Caramail et le navigateur Opera, on peut limiter les risques d'une surveillance de tous les instants, si chère aux adeptes du marketing. Une bonne raison de plus d'éviter Passeport, le système central d'authentification sur le web proposé par Microsoft.
La démonstration du mouchard : sur la page de Richard Antony Burton, ou celle-ci, avec le code source commenté.
Cartes blanches
Une phrase d'Eric Domage, d'IDC, interpelait récemment décideurs et acteurs du marché sur l'importance des coûts et le peu de ROI découlant des projets d'IAM. Bruno Vincent nuance voire réfute en partie, ces propos.
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Les dossiers
Les thématiques
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
