La faille de sécurité du service Passport de Microsoft a laissé 200 millions de comptes d'utilisateurs vulnérables à des attaques de pirates et de voleurs. Cette admission pourrait exposer l'entreprise à de fortes amendes de la part des autorités américaines.
Microsoft a indiqué avoir réglé le problème tôt jeudi, après qu'un chercheur pakistanais eut dévoilé les détails de la faille sur Internet. Le directeur de produits Adam Sohn a dit que la compagnie avait verrouillé tous les comptes qu'elle croyait modifiés par l'utilisation de la faille. Il n'a toutefois pas voulu indiquer combien de personnes avaient été affectées, se limitant à dire que c'était un petit nombre.
M. Sohn a dit que la faille existait, selon toute vraisemblance, depuis au moins septembre 2002, mais les enquêteurs de Microsoft n'ont trouvé aucune preuve que quiconque ait tenté d'en profiter pour détourner un compte avant le mois dernier.
Cet incident s'avère une autre faiblesse embarrassante pour Microsoft et pourrait mener à des sanctions par la Federal Trade Commission américaine, de même qu'à de très fortes amendes. Ironiquement, l'incident survient alors que Microsoft met l'emphase sur son initiative de «trustworthy computing», visant à améliorer la sécurité de tous ses produits, logiciels et services.
Aux termes d'une entente conclue l'été dernier, le gouvernement a accusé Microsoft de déclarations trompeuses au sujet de la sécurité de Passport. En réponse, l'entreprise s'est engagé a prendre des précautions raisonnables pour protéger ces comptes, à se soumettre à des vérifications aux 2 ans pour les prochains 20 ans ou risquer d'encourir des amendes pouvant atteindre 11 000 $ par infraction.
Microsoft n'a pas voulu commenter jeudi si la FTC avait été avisée. La directrice adjointe aux pratiques financières de l'agence, Jessica Rich, a indiqué que tout compte Passport qui était vulnérable pourrait constituer une infraction à l'entente entre Microsoft et la commission. En théorie, cela voudrait dire que l'amende maximale serait de 2,2 trilliards $US, même si les experts s'entendent pour dire que si une amende est effectivement imposée, elle serait nettement inférieure à cette somme.
Les sanctions imposées par la FTC dépendront des détails techniques de la faille et de la justesse de la réaction de Microsoft au cours des prochains jours pour empêcher une répétition. «Des éléments importants sont 'quand la compagnie les avise-t-elle?' et 'que fait la compagnie pour régler le problème'» indique Jodie Bernstein, ancien directeur du Bureau de la protection des consommateurs de la Commission. «Ils ont un pouvoir discrétionnaire. Ils peuvent considérer que ce que la compagnie a fait pour éviter qu'une telle situation ne se reproduise pas.»
Le chercheur pakistanais, Muhammad Faisal Rauf Danka, a déterminé qu'en tapant une adresse web spécifique, contenant la phrase «emailpwdreset», il pouvait s'emparer de n'importe quel compte Passport. Il indique avoir envoyé 10 courriels à Microsoft, expliquant ce qu'il avait découvert, mais n'avoir jamais reçu de réponse. M. Sohn, directeur de produit chez Microsoft, a indiqué que la compagnie enquêtait afin de déterminer comment elle avait pu ne pas voir ces rapports.
M. Danka a dit avoir découvert la faille après que des pirates inconnus aient, de façon répété, détourné son compte Passport de même que celui d'un ami. Il a indiqué avoir trouvé le problème sur le site Web de Microsoft qui contrôle les comptes Passport environ 4 minutes après avoir commencé à chercher sérieusement la cause du problème.
«C'était tellement simple à faire. Ça n'aurait pas dû être aussi simple» a indiqué M. Danka à l'Associated Press lors d'une entrevue téléphonique à partir de Karachi. «N'importe qui aurait pu faire ça.»
Microsoft a fermé le site Web en question tard mercredi soir, environ une heure après que les détails de la faille eurent été publiés sur Internet.
