La porte dérobée découverte dans le système d'authentification Passport de Microsoft a conduit le Gartner Group à publier un avis plutôt radical à son encontre. L'analyste déconseille purement et simplement aux entreprises d'utiliser ce procédé avant au moins six mois. Et il appelle Microsoft à en publier le code source si l'éditeur espère regagner la confiance du marché.

au sommaire


    Passport de Microsoft : une utilisation déconseillée

    Passport de Microsoft : une utilisation déconseillée

    Passport devait être le système d'authentification incontournable de MicrosoftMicrosoft. Évidement très sûr à en croire son éditeur, il s'est cependant très vite révélé pas vraiment fini : la première faille, découverte l'an dernier en trente minutes selon son inventeur, permettait à un pirate de faire ses courses en utilisant le compte Passport de sa victime, si cette dernière y avait confié son numéro de carte bancaire.
    La bourde rapidement corrigée, Microsoft a repris son bâton de pèlerin afin de convaincre les entreprises que son Passport était le système d'authentification idéal pour l'échange de services sur le Web, tant entre partenaires qu'avec ses clients. Et qu'il était parfaitement fiable, cette fois-ci, c'est juré.

    Une porte dérobée...

    Las, c'est maintenant une gigantesque porte dérobéeporte dérobée qu'un étudiant en informatique a découvert au début du mois. Il suffisait en effet d'ajouter la chaîne "emailpwdreset" à une URL d'accès à Passport pour s'ouvrir n'importe lequel des 200 millions de comptes du service.

    Cette accumulation de bourdes, et la réaction un peu cavalière de l'éditeur (certes rapide, mais se contentant de déclarer continuer à apprendre de ses erreurs), a conduit les analystes du Gartner Group à lancer une étonnante recommandation : ne pas faire confiance à Microsoft Passport et cesser de l'utiliser pendant au moins six mois.

    Le cabinet d'analyse justifie sa décision en expliquant que Microsoft a montré qu'il n'avait pas su tester correctement l'architecture de sécurité de Passport, et que cette faille immense (c'est le terme qu'il utilise) remet tout simplement en cause la totalité des identités Passport émises à ce jour.

    Pour faire bonne mesure, Gartner indique que les retombées négatives de cette faille pourraient également éclabousser Liberty, le système concurrent poussé par une alliance de nombreux éditeurs concurrents de Microsoft, dont Sun.

    Outre la recommandation peu glorieuse du Gartner, les ennuis de Microsoft pourraient ne pas s'arrêter là : la Commission fédérale du Commerce américaine (FTC) a émis l'idée de poursuivre l'éditeur pour non-respect de la vie privée de ses clients. La commission vient de lancer une enquête et indique que toute violation de compte Passport coûterait à Microsoft 11.000 dollars.

    C'est la seconde fois que le Gartner Group déconseille l'utilisation d'un produit de Microsoft en raison de sa piètre sécurité. Sa première recommandation concernait le serveur web IIS, dès 2001.