Robin Lavallée, un étudiant en informatique de l'Université Concordia à Montréal, a eu toute une surprise en naviguant sur MSN Gaming Zone, le site de jeu en réseau de Microsoft. Une défaillance du système Passport lui a permis de naviguer à son aise dans un compte Hotmail devenu involontairement commun.
L'affaire survient à un bien mauvais moment pour Microsoft. Selon Reuters, l'Electronic Privacy Information Center aurait demandé aux 50 États américains de considérer les dangers du systèmes Passport.
L'événement est survenu dimanche soir dernier. Après s'être branché sur la MSN Gaming Zone en utilisant son compte Passport, Robin Lavallée a voulu se rendre sur Hotmail en cliquant sur le lien à cet effet situé au haut de la page d'accueil du site. Théoriquement, en utilisant Passport, ce lien aurait dû le rediriger directement vers sa boîte de réception de courriel.
C'est plutôt vers une autre boîte de réception qu'il fut redirigée, celle d'un compte à l'adresse «customer!@hotmail.com». Comme lui, des centaines d'autres internautes ont été inopinément redirigés vers ce compte de courriel, ce qui a donné lieu à plusieurs situations étranges.
Ainsi, les informations personnelles liées au compte (nom, pays de résidence, sexe, date de naissance, etc.) étaient constamment modifiées, probablement par des visiteurs croyant être branchés sur leur propre compte et croyant que les informations qu'ils avaient fournies avaient été malencontreusement modifiées. De même, quelques courriels aboutissaient dans la boîte de réception.
«J'ai vu passer ce qui ressemblait à une demande de divorce, un échange entre un professeur et un étudiant et une confirmation de paiement d'environ 200$ entre autres», raconte Robin Lavallée.
Outre son côté anecdotique, la défectuosité n'aura probablement pas entraîné de conséquences graves. «Il n'y avait que Hotmail qui était accessible, explique M.Lavallée. Le portefeuille, où on peut trouver des numéros de cartes de crédit, ne fonctionnait pas.»
M.Lavallée a réussi à se brancher à ce «compte commun» pour la dernière fois pendant l'heure du midi aujourd'hui (mardi). «Je trouve que Microsoft prend un peu trop son temps, a-t-il commenté. Ils n'auraient eu qu'à désactiver le compte de "customer!".»
C'est ce qui semblait avoir été fait en après-midi. Les courriels envoyés à cette adresse rebondissaient, tandis que les tentatives de se brancher au compte via la procédure expliquée plus haut étaient accueillies par un message écrit en suédois. Une fois l'URL de ce message trafiquée afin d'obtenir l'équivalent anglais, on pouvait lire: «Hotmail Account Closed. Access Denied.» Plus bas, le message indique que le compte en question a été fermé et renvoie à la politique d'utilisation du service.
Robin Lavallée a rapidement soumis sa découverte au chercheur Marc Slemko, basé à Seattle, qui avait découvert en novembre dernier une faille de sécurité dans le système Passport (voir notre article). Celui-ci a par la suite contacté le webzine Newsbytes pour fournir ses impressions.
Jean-François Codère
