Skype : Une faille de sécurité critique corrigée

4
121

Une nouvelle faille de sécurité sur Skype, découverte en août, a été rendue publique aujourd’hui. Microsoft a fait en sorte qu’elle ne soit plus exploitable. Les utilisateurs crient au scandale.

La faille avait déjà été divulguée sur des forums underground russes il y a plus de deux mois mais ce n’est que récemment qu’une vague de piratages de comptes utilisateurs a poussé Microsoft à la corriger. Bien entendu, l’affaire fait du bruit sur la Toile, pourquoi avoir attendu si longtemps, qu’il y ait des victimes avant de passer à l’action ?

L’astuce utilisée par les pirates est basée sur le fait que le service ne vérifiait pas l’existence d’un mail en base de données lors de la création de compte. Pour tirer profit de cette faille, il suffisait de connaître l’adresse mail que la victime avait associé à son compte Skype.

Ensuite, le but était de créer un nouveau compte Skype en utilisant le mail de la victime en passant par la page https://login.skype.com/account/signup-form. Après ? Facile, il ne restait au pirate qu’à lancer le programme Skype sur son ordinateur avec les identifiants précédemment créés, puis de réinitialiser le mot de passe de la victime en utilisant le formulaire dédié https://login.skype.com/account/password-reset-request.

Il ne restait plus qu’au petit malin à attendre la notification Skype l’informant du code d’accès temporaire permettant de modifier n’importe quel mot de passe parmi les comptes Skype liés à l’adresse mail ciblée.

A noter que Microsoft a empêché l’utilisation de la faille en désactivant la page de réinitialisation de mot de passe. Les utilisateurs de Skype sont donc protégés pour le moment mais la source du problème n’a quand à lui, pas été corrigé…

4 Commentaires

  1. Mais comment se fait-il qu’on en soit informé que maintenant?
    J’ai personnellement été victime d’une arnaque au phishing que j’ai d’ailleurs reportée sur le site scanandtrust.fr mais dans ce cas, on est juste impuissant car on ne sait même pas qu’on a été piraté sauf le jour ou on s’aperçoit que nos identifiants ne concordent plus… C’est quand même incroyable!

Les commentaires sont fermés.