Une faille de sécurité majeure a été découverte dans Passport, le service de Microsoft proposant aux internautes d’enregistrer leurs données personnelles afin de leur éviter d’avoir à les saisir à chaque fois qu’ils accèdent à un service en ligne. La faille a été découverte par un informaticien pakistanais qui a tenté à plusieurs reprises de la signaler à Microsoft, sans succès, avant de diffuser sa trouvaille sur Internet. Elle a été reprise par le site américain d’informations hightechnews.com. C’est l’article paru sur News.com qui a finalement alerté Microsoft. Le problème se situe au niveau d’une fonction de Passport, active depuis septembre 2002, qui permet aux clients de modifier par e-mail le mot de passe d’accès à leur compte. Exploitée par un pirate, la faille permet tout bonnement de s’approprier les nom, adresse et cordonnées bancaires des utilisateurs de Passport. La publication de la faille, le 7 mai dernier, a entraîné la désactivation immédiate de la fonction suspecte. Le dysfonctionnement a été réparé et la fonction restaurée le jeudi 8 mai au matin. Aux dires de Microsoft, seule une poignée de clients, sur un total de 200 millions de comptes enregistrés, aurait été affectée.
Obligation de moyensIl est évident que cette péripétie jette un voile de suspicion sur la capacité de Microsoft à jouer le rôle de gardien des données personnelles des internautes et de garant de leur intégrité. Pour cela, il se doit de gagner la confiance à la fois des internautes et des éditeurs de services en ligne. Forcément, cette confiance est désormais gravement entamée. Du coup, c’est un pan entier de la stratégie ?Net qui s’en trouve fragilisé. Mais le préjudice va bien au-delà et risque de se mesurer en espèces sonnantes et trébuchantes. En effet, en août dernier, l’éditeur a signé un document avec une instance régulatrice américaine, la Federal Trade Commission, dans lequel il s’engage à prendre toutes les mesures et précautions nécessaires lui permettant de détenir dans de bonnes conditions de sécurité les données personnelles confiées par les internautes. Il s’agit en somme d’une obligation de moyens. Pour le moment, l’organisme public américain n’a pas encore décidé de lancer une enquête. Mais si Microsoft était convaincu de négligences coupables, il encourrait une amende de 11 000 dollars par infraction constatée.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…