Les indiscrétions du Messenger de Microsoft

Mobilité

Un message posté sur la liste de sécurité Bugtraq fait état d’une fonction d’identification des utilisateurs dans la messagerie instantanée de Microsoft. N’importe quel site peut consulter le nom employé par un utilisateur connecté et ceux de ses contacts. L’ajout d’une ligne dans la base de registres suffit pour obtenir les adresses e-mail correspondantes. Prudence !

En matière de sécurité informatique, on évoque fréquemment les risques liés à l’utilisation de messageries instantanées. Les failles découvertes récemment sur celles d’AOL le confirment (voir éditions du 14 janvier et du 28 janvier 2002). Mais on oublie trop souvent le danger qu’elles peuvent aussi représenter pour le respect de la vie privée car une telle application peut constituer un moyen très efficace de pister l’internaute. N’importe quel site est ainsi en mesure d’accéder au nom qu’un utilisateur a enregistré sur la messagerie instantanée de Microsoft (MSN Messenger, Windows Messenger sous XP), pour peu que celle-ci soit active. C’est un message posté le 2 février sur la liste de diffusion Bugtraq, spécialisée dans la sécurité, qui nous l’apprend. Son auteur Richard Antony Burton explique comment un JavaScript suffit pour récupérer le nom enregistré, ainsi que ceux de toute la liste de contact. Il propose même une démonstration en ligne. Et de préciser que Microsoft a accès depuis ses sites (microsoft.com, hotmail.com et hotmail.msn.com) non pas uniquement aux noms, mais aussi aux adresses e-mail enregistrées (à la fois de l’utilisateur et de ses contacts). Ce qui ne semble pas vraiment anormal puisqu’il faut bien s’être inscrit chez Microsoft pour utiliser son application de messagerie instantanée. Plus inquiétant peut-être, afin que d’autres sites accèdent également aux adresses de messagerie, il suffit d’ajouter une simple ligne de commande dans la base de registres. Un spyware (logiciel espion) qui se faufile à l’insu de l’utilisateur lors de l’installation d’une autre application est tout à fait capable de le faire.

Cas pratique

Dans le domaine de l’anonymat sur Internet, on fait mieux. Les amateurs de profilage vont adorer. Imaginez seulement une joyeuse bande de sites Internet qui s’échangeraient les données qu’ils recueillent en ligne. S’ils s’intéressent aux identifiants des messageries instantanées de Microsoft, ils sauront rapidement que « Chatteur Fou » (votre splendide pseudo) se promène sur tel site ou tel autre. Ils verront que c’est un ami de « La Bavarde » et d’un certain « Youpi », lesquels s’intéressent à divers domaines ainsi que l’atteste leur navigation. En allant un peu plus loin, on récupère leurs adresses de messagerie électronique, on croise le tout avec d’autres fichiers contenant justement leurs adresses e-mail. Bref, on en sait beaucoup plus sur votre compte que vous ne le souhaitez. Pour s’en prémunir, le principe de base consiste à utiliser des pseudonymes et des identités bidons. A vous ensuite d’éviter au maximum de les rendre disponibles lorsque vous employez votre véritable identité. Dans le cas présent, cela signifie fermer sa messagerie instantanée Microsoft lorsque l’on se connecte à un site de commerce électronique sur lequel, potentiellement, on laissera son numéro de carte bancaire. Un internaute averti en vaut deux.