Un Passport pour l’insécurité

Cloud

Révélée par un internaute, une faille de sécurité grossière permettait d’accéder aux 200 millions de comptes de Passport, le service de gestion des données personnelles de Microsoft. Un pan entier de la stratégie ?Net est ainsi compromis.

Une faille de sécurité majeure a été découverte dans Passport, le service de Microsoft proposant aux internautes d’enregistrer leurs données personnelles afin de leur éviter d’avoir à les saisir à chaque fois qu’ils accèdent à un service en ligne. La faille a été découverte par un informaticien pakistanais qui a tenté à plusieurs reprises de la signaler à Microsoft, sans succès, avant de diffuser sa trouvaille sur Internet. Elle a été reprise par le site américain d’informations hightechnews.com. C’est l’article paru sur News.com qui a finalement alerté Microsoft. Le problème se situe au niveau d’une fonction de Passport, active depuis septembre 2002, qui permet aux clients de modifier par e-mail le mot de passe d’accès à leur compte. Exploitée par un pirate, la faille permet tout bonnement de s’approprier les nom, adresse et cordonnées bancaires des utilisateurs de Passport. La publication de la faille, le 7 mai dernier, a entraîné la désactivation immédiate de la fonction suspecte. Le dysfonctionnement a été réparé et la fonction restaurée le jeudi 8 mai au matin. Aux dires de Microsoft, seule une poignée de clients, sur un total de 200 millions de comptes enregistrés, aurait été affectée.

Obligation de moyensIl est évident que cette péripétie jette un voile de suspicion sur la capacité de Microsoft à jouer le rôle de gardien des données personnelles des internautes et de garant de leur intégrité. Pour cela, il se doit de gagner la confiance à la fois des internautes et des éditeurs de services en ligne. Forcément, cette confiance est désormais gravement entamée. Du coup, c’est un pan entier de la stratégie ?Net qui s’en trouve fragilisé. Mais le préjudice va bien au-delà et risque de se mesurer en espèces sonnantes et trébuchantes. En effet, en août dernier, l’éditeur a signé un document avec une instance régulatrice américaine, la Federal Trade Commission, dans lequel il s’engage à prendre toutes les mesures et précautions nécessaires lui permettant de détenir dans de bonnes conditions de sécurité les données personnelles confiées par les internautes. Il s’agit en somme d’une obligation de moyens. Pour le moment, l’organisme public américain n’a pas encore décidé de lancer une enquête. Mais si Microsoft était convaincu de négligences coupables, il encourrait une amende de 11 000 dollars par infraction constatée.