Tech

MSN Messenger ouvre votre disque dur aux inconnus

ActualitéClassé sous :informatique , faille MSN Messenger

-

Une faille découverte dans MSN Messenger permet à un inconnu d'accéder aux fichiers de sa victime. Il lui suffit pour cela de lui envoyer un message piégé. Et du côté de la victime, l'opération est totalement invisible.

Le logo de MSN Messenger

Le décidément très indiscret MSN Messenger a encore frappé : une nouvelle faille vient d'y être découverte, qui permet cette fois à un inconnu de consulter les fichiers sur le disque dur de sa victime.

Il lui suffit pour cela d'envoyer à son correspondant un message piégé. Facteur aggravant : l'attaque est invisible pour la victime, qui peut ainsi parfaitement se faire siphonner son disque dur tout dialoguant avec son bourreau.

La seule contrainte de cette attaque est que le pirate doit connaître l'emplacement des fichiers qu'il souhaite consulter. Mais considérant, par exemple, que les emails d'Outlook sont stockés dans un endroit bien connu du système, cette faille offre au minimum une occasion rêvée de récupérer tous les emails de son correspondant !

Ce n'est pas la première fois que MSN Messenger trahit ainsi son utilisateur. Il y a deux ans déjà on apprenait que Microsoft avait équipé Messenger d'un mouchard qui communiquait à l'éditeur les adresses email de son utilisateur et de tous ses contacts. Et bien sûr, dans la grande tradition de fiabilité de Microsoft, les mesures de sécurité mises en place pour s'assurer que l'éditeur serait le seul à accéder à ces informations étaient trouées : n'importe qui pouvait en fait y avoir accès.

Enfin, la même année, une vulnérabilité découverte dans un contrôle ActiveX permettait à un pirate de prendre le contrôle du PC de sa victime via MSN Messenger.

Détail amusant : ce contrôle ActiveX n'était installé que si l'on utilise MSN Messenger, n'exposant en théorie que les adeptes de l'outil de chat. Mais puisqu'il était signé par Microsoft, le composant défectueux pouvait aussi être installé de force et en silence sur le PC de n'importe qui afin d'en prendre le contrôle malgré tout !