Journal du Net > Solutions >  Des trous (de sécurité) dans le Passport de Microsoft
Article
 
11/06/2001

Des trous (de sécurité) dans le Passport de Microsoft

  Envoyer Imprimer  

Mercredi , de 18 à 19 heures (GMT + 2)
Posez vos questions en direct à
Olivier Ezratty
, directeur de la division développeurs .NET de Microsoft France. Jusqu'où la firme veut-elle aller avec Passport? Quels sont les objectifs de la stratégie .Net ?
>> http://chat.journaldunet.com/

Mauvaise passe pour Microsoft sur le terrain de la sécurité: après son système de gestion des droits numériques, c'est autour de Passport, son service d'authentification, d'être pris en défaut. Un membre de l'Apache Software Foundation, Marc Slemko, spécialiste des questions de sécurité, a tout simplement réussi à récupérer des coordonnées bancaires enregistrées via ce service. Un coup dur pour la firme de Redmond puisque Passport représente l'un des piliers de sa stratégie .NET.

Plate-forme d'authentification mutualisée, Passport apporte à l'internaute un service dit de SSO (Single Sign On), autrement dit, de login unique. Concrètement, un internaute qui s'authentifie une fois sur Passport n'a plus à le faire ensuite durant sa connexion sur les sites de la communauté Passport, le service s'occupant d'assurer la persistance de l'authentification auprès des sites concernés. Aucune recette miracle derrière ce service ; juste une combinaison de cookies et de redirections http.

Une série de petites vulnérabilités
Dans ce dispositif, Marc Slemko n'a pas identifié une faille majeure mais une série de petites vulnérabilités. Prises indépendamment les unes des autres, ces faiblesses semblent mineures; en revanche, combinées par un expert, elles ébranlent sérieusement le crédit que l'on peut accorder aujourd'hui au service.

Première faiblesse, l'utilisation des cookies à travers les différents outils de Microsoft, du service de mail Hotmail au

logiciel de messagerie instantanée MSN Messenger, en passant par Hotmail. Quand un utilisateur entre sur son compte Hotmail ou, plus simplement encore, quand il demande l'affichage de sa boîte de réception Hotmail via MSN Messenger, il est alors automatiquement considéré comme authentifié sur Passport Wallet. Ce sous-ensemble de Passport, destiné au paiement en ligne, stocke donc les coordonnées bancaires des utilisateurs. Comprenons bien: même si l'internaute ne compte pas utiliser Passport Wallet, cette authentification reste valide 15 minutes, via l'entremise de cookies. De longues minutes qui peuvent être mises à profit pour dérober les cookies et accédér aux coordonnées du compte.

Certes, les cookies utilisés par Passport ne sont pas "publics" puisqu'il sont émis depuis le domaine "passport.com" et ne peuvent être exploités que par lui.
Sauf que ce domaine Passport couvre un grand nombre de serveurs qui ne sont pas à l'abri de failles dites de "Cross Scripting" - ces failles qui permettent de faire interpréter à un serveur des scripts malicieux. Un autre faiblesse donc, que l'on rencontre sur le service Hotmail mais aussi sur les nombreux serveurs placés sous le domaine "passport.com".

Résultat, en profitant à la fois du délai de validité de l'authentification, de l'émission des cookies depuis un domaine qui couvre de nombreux serveurs, et enfin des failles de cross-scripting de ces serveurs, Marc Slemko a réussi à dérober les fameux marqueurs électroniques. L'opération globale commence avec l'envoi d'un mail à un utilisateur de Hotmail et s'achève avec la récupération de ces cookies. Dès lors, durant 15 minutes, tout est possible jusqu'à la récupération des coordonnées bancaires de la victime...

Faiblesse structurelle ?
Informé mercredi en détail par Marc Slemko, Microsoft semble avoit réagi très vite. Selon des confrères américains,
le service Express Purchase (le versant site marchand de Passport Wallet) aurait été suspendu. Dixit Véronique Dupont Wargny, responsable produits de la plate-forme .NET, "les choses ont été prises très au sérieux, les failles de cross-scripting identifiées ont été neutralisées et le fameux délai de 15 minutes a été sensiblement revu à la baisse" (5 minutes ou moins semble-t-il).

Reste que le représentant de l'Apache Software Foundation n'a pas seulement mis en évidence des trous de sécurité mais plutôt une faiblesse structurelle du service. Sur ce point aussi Microsoft contre-argumente. "Ces informations ne remettent pas en cause l'intérêt d'un service de SSO comme Passport, défend Véronique Dupont Wargny. Aucun système de sécurité n'est sûr à 100% et avec Passport on sait au moins où corriger et comment le faire vite puisque tout est centralisé. Par ailleurs, il faut rappeler que Passport peut aussi fonctionner de concert avec des dispositifs d'authentification tiers comme une carte puce par exemple afin d'accroître la robustesse du service". Un recours à des solutions tierces qui réduit toutefois beaucoup l'intérêt d'un service de SSO...

A lire aussi:
Zoom sur Passport, le service d'authentification de Microsoft
Pourquoi les failles de Cross Site Scripting se ramassent à la pelle


JDN Solutions Envoyer Imprimer Haut de page

Sondage

Les bases de données open source sont-elles désormais à la hauteur pour les systèmes d'entreprise ?

Tous les sondages