11/06/2001
Des
trous (de sécurité) dans le Passport de Microsoft
Mercredi
, de 18 à 19 heures (GMT
+ 2)
Posez
vos questions en direct à
Olivier Ezratty , directeur de la division
développeurs .NET de Microsoft
France. Jusqu'où la firme veut-elle aller avec
Passport? Quels sont les objectifs de la
stratégie .Net ? >>
http://chat.journaldunet.com/
|
Mauvaise passe pour Microsoft sur le terrain de la sécurité:
après son système
de gestion des droits numériques, c'est autour
de Passport, son service d'authentification, d'être
pris en défaut. Un membre de l'Apache Software
Foundation, Marc Slemko, spécialiste des questions
de sécurité, a tout simplement réussi
à récupérer des coordonnées
bancaires enregistrées via ce service. Un coup
dur pour la firme de Redmond puisque Passport représente
l'un des piliers de sa stratégie
.NET.
Plate-forme d'authentification
mutualisée, Passport apporte à l'internaute
un service dit de SSO (Single Sign On), autrement dit,
de login unique. Concrètement, un internaute
qui s'authentifie une fois sur Passport n'a plus à
le faire ensuite durant sa connexion sur les sites de
la communauté Passport, le service s'occupant
d'assurer la persistance de l'authentification auprès
des sites concernés. Aucune recette miracle derrière
ce service ; juste une combinaison de cookies et de
redirections http.
Une série de petites vulnérabilités
Dans ce dispositif, Marc Slemko n'a pas identifié
une faille majeure mais une
série de petites vulnérabilités.
Prises indépendamment les unes des autres, ces
faiblesses semblent mineures; en revanche, combinées
par un expert, elles ébranlent sérieusement
le crédit que l'on peut accorder aujourd'hui
au service.
Première faiblesse, l'utilisation des cookies
à travers les différents outils de Microsoft,
du service de mail Hotmail au
logiciel
de messagerie instantanée MSN Messenger, en passant
par Hotmail. Quand un utilisateur entre sur son compte
Hotmail ou, plus simplement encore, quand il demande
l'affichage de sa boîte de réception Hotmail
via MSN Messenger, il est alors automatiquement considéré
comme authentifié sur Passport Wallet. Ce sous-ensemble
de Passport, destiné au paiement en ligne, stocke
donc les coordonnées bancaires des utilisateurs.
Comprenons bien: même si l'internaute ne compte
pas utiliser Passport Wallet, cette authentification
reste valide 15 minutes, via l'entremise de cookies.
De longues minutes qui peuvent être mises à
profit pour dérober les cookies et accédér
aux coordonnées du compte.
Certes, les cookies utilisés par Passport ne
sont pas "publics" puisqu'il sont émis
depuis le domaine "passport.com" et ne peuvent
être exploités que par lui.
Sauf que ce domaine Passport couvre un grand nombre
de serveurs qui ne sont pas à l'abri de failles
dites de "Cross Scripting" - ces failles qui
permettent de faire interpréter à un serveur
des scripts malicieux. Un autre faiblesse donc, que
l'on rencontre sur le service Hotmail mais aussi sur
les nombreux serveurs placés sous le domaine
"passport.com".
Résultat,
en profitant à la fois du délai de validité
de l'authentification,
de l'émission des cookies depuis un domaine qui
couvre de nombreux serveurs, et enfin des failles de
cross-scripting de ces serveurs, Marc Slemko a réussi
à dérober les fameux marqueurs électroniques.
L'opération globale commence avec l'envoi d'un
mail à un utilisateur de Hotmail et s'achève
avec la récupération de ces cookies. Dès
lors, durant 15 minutes, tout est possible jusqu'à
la récupération des coordonnées
bancaires de la victime...
Faiblesse structurelle ?
Informé mercredi en détail par Marc Slemko,
Microsoft semble avoit réagi très vite.
Selon des confrères américains,
le
service Express Purchase (le versant site marchand de
Passport Wallet) aurait été suspendu.
Dixit Véronique Dupont Wargny, responsable produits
de la plate-forme .NET, "les choses ont été
prises très au sérieux, les failles de
cross-scripting identifiées ont été
neutralisées et le fameux délai de 15
minutes a été sensiblement revu à
la baisse" (5 minutes ou moins semble-t-il).
Reste que le représentant de l'Apache Software
Foundation n'a pas seulement mis en évidence
des trous de sécurité mais plutôt
une faiblesse structurelle du service. Sur ce point
aussi Microsoft contre-argumente. "Ces informations
ne remettent pas en cause l'intérêt d'un
service de SSO comme Passport, défend Véronique
Dupont Wargny. Aucun système de sécurité
n'est sûr à 100% et avec Passport on sait
au moins où corriger et comment le faire vite
puisque tout est centralisé. Par ailleurs, il
faut rappeler que Passport peut aussi fonctionner de
concert avec des dispositifs d'authentification tiers
comme une carte puce par exemple afin d'accroître
la robustesse du service". Un recours à
des solutions tierces qui réduit toutefois beaucoup
l'intérêt d'un service de SSO...
A lire aussi:
Zoom
sur Passport, le service d'authentification de Microsoft
Pourquoi
les failles de Cross Site Scripting se ramassent à la
pelle
|