News
Other articles |
Porte dérobée : le Gartner Group déconseille d'utiliser le Passport de Microsoft. Written by Jerome Saiz (SecurityVibes)
Published on Tuesday 27 May 2003 0 comment(s) | Subnetwork France La porte dérobée découverte dans le système d'authentification Passport de Microsoft a conduit le Gartner Group à publier un avis plutôt radical à son encontre. L'analyste déconseille purement et simplement aux entreprises d'utiliser ce procédé avant au moins six mois. Et il appelle Microsoft à en publier le code source si l'éditeur espère regagner la confiance du marché.[Mis à jour le 30/06/2003]
Passport devait être le système d'authentification incontournable de Microsoft. Evidement très sûr à en croire son éditeur, il s'est cependant très vite révélé pas vraiment fini : la première faille, découverte l'an dernier en trente minutes selon son inventeur, permettait à un pirate de faire ses courses en utilisant le compte Passport de sa victime, si cette dernière y avait confié son numéro de carte bancaire.La bourde rapidement corrigée, Microsoft a repris son bâton de pèlerin afin de convaincre les entreprises que son Passport était le système d'authentification idéal pour l'échange de services sur le Web, tant entre partenaires qu'avec ses clients. Et qu'il était parfaitement fiable, cette fois-ci, c'est juré.
 Une porte dérobée...Las, c'est maintenant une gigantesque porte dérobée qu'un étudiant en informatique a découvert au début du mois. Il suffisait en effet d'ajouter la chaîne "emailpwdreset" à une URL d'accès à Passport pour s'ouvrir n'importe lequel des 200 millions de comptes du service.Cette accumulation de bourdes, et la réaction un peu cavalière de l'éditeur (certes rapide, mais se contentant de déclarer continuer à apprendre de ses erreurs), a conduit les analystes du Gartner Group à lancer une étonnante recommandation : ne pas faire confiance à Microsoft Passport et cesser de l'utiliser pendant au moins six mois.Le cabinet d'analyse justifie sa décision en expliquant que Microsoft a montré qu'il n'avait pas su tester correctement l'architecture de sécurité de Passport, et que cette faille immense (c'est le terme qu'il utilise) remet tout simplement en cause la totalité des identités Passport émises à ce jour.Pour faire bonne mesure, Gartner indique que les retombées négatives de cette faille pourraient également éclabousser Liberty, le système concurrent poussé par une alliance de nombreux éditeurs concurrents de Microsoft, dont Sun.Outre la recommandation peu glorieuse du Gartner, les ennuis de Microsoft pourraient ne pas s'arrêter là : la Commission fédérale du Commerce américaine (FTC) a émis l'idée de poursuivre l'éditeur pour non-respect de la vie privée de ses clients. La commission vient de lancer une enquête et indique que toute violation de compte Passport coûterait à Microsoft 11.000 dollars.C'est la seconde fois que le Gartner Group déconseille l'utilisation d'un produit de Microsoft en raison de sa piètre sécurité. Sa première recommandation concernait le serveur web IIS, dès 2001.[Mise à jour du 30/06/2003]Microsoft souhaite tempérer ce jugement du Gartner Group en indiquant celui, plus clément, d'un autre organisme d'étude tout aussi réputé, le GIGA Group. Ce dernier estime que la recommandation du Gartner Group n'est "pas suffisamment fondée et ne résout pas les problèmes de sécurité indiqués". L'étude est disponible sur le site du groupe, mais sa consultation est payante.
Our members have posted 0 comments about this article. Only members can view and submit new comments.
Related contents
|
Advertising
Related Questions & Answers
 Référence horaire unique (1 Answers)
Migration environnement windows vers open source (4 Answers)
Que pensez-vous de l'affaire ZATAZ ? (5 Answers)
Application du correctif MS08-067 (3 Answers)
Search
Our RSS Feeds
Social Web
|
Audio Podcast
0
0
0
