![[MàJ] Skype : une faille permettait de prendre le contrôle d'un compte](https://cdn.next.ink/inpactv7/data-next/images/bd/wide-linked-media/0.jpg "[MàJ] Skype : une faille permettait de prendre le contrôle d'un compte")
Une importante faille de sécurité dans le fonctionnement du réseau Skype permettait à n’importe qui de prendre possession d’un compte en ne connaissant que l’adresse email utilisée. Depuis peu, cette procédure ne fonctionne plus, mais elle a potentiellement déjà fait des victimes.
La faille réside dans la réinitialisation du mot de passe. Puisque la technique ne fonctionne plus, nous nous permettons d’en dévoiler les détails :
- Créer un nouveau compte Skype en utilisant l’email de la victime. Un avertissement préviendra que l’adresse est déjà utilisée, mais on peut continuer la procédure d’inscription.
- Se connecter dans Skype avec le nouveau compte
- Se rendre sur la page de réinitialisation du mot de passe et suivre la procédure
- Une notification de réinitialisation est envoyée dans le client Skype et permet alors d’aller modifier le mot de passe.
La faille est facilement compréhensible mais réelle. Si vous vous servez de votre adresse email pour plusieurs comptes Skype, vous y recevrez toutes les notifications de nouvelles inscriptions, ce qui est normal. Cependant, depuis l’un des comptes, vous pouvez faire une demande de réinitialisation du mot de passe. Rien n’empêche malheureusement un parfait étranger d’être l’un de ses comptes. En possession d’un « jeton » de réinitialisation, il peut prendre possession du compte original.
Mais l’étape 3 ne fonctionne plus : que l’on clique sur l’oubli du pseudo ou l’oubli du mot de passe, la page se recharge en affichant le même contenu. L’information avait été remontée à Skype et il s’agit donc d’une mesure d’urgence. Elle suffit toutefois à couper le problème. Nous avons nous-mêmes tenté la manipulation et n’avons pas pu la terminer.
Skype ne donne pour l'instant pas de détails. Interrogé, l'éditeur nous a simplement indiqué : « Nous avons reçu des rapports au sujet d’une nouvelle faille de sécurité. En tant que mesure temporaire, nous avons désactivé la page de réinitialisation des mots de passe pendant que nous continuons à enquêter sur le problème. Nous nous excusons pour la gêne occasionnée, mais l’expérience et la sécurité de l’utilisateur sont nos priorités. »
Commentaires (16)
#1
Pfiouuuu, épique la faille ! Pourtant pas de “can hack any skype account you want for 10$$$” sur les fofo douteux des tréfonds du net, bizarre que ça soit passé autant inaperçu ^^
#2
“4.Une notification de réinitialisation est envoyée dans le client Skype et permet alors d’aller modifier le mot de passe.”
Est-ce que si l’utilisateur “réel” reçoit un mail (sur l’adresse renseignée pour le compte) indiquant qu’il y a eu une modification de mot de passe ? Est-ce qu’il ne pourra plus se connecter ? Ou est-ce que le compte pourrait être utilisé par un autre “en même temps” sans qu’on s’en aperçoive ?
#3
J’espère qu’ils vont revoir leur système de jetons parce qu’il m’est impossible de réinitialisé le mot de passe de mon compte Skype créer avec le compte Microsoft : le jeton n’est jamais reconnu –’
#4
mince. moi j’ai vraiment perdu mon mot de passe à skype. et je retrouve même plus l’adresse mail associée… un peu con de ma part, mais je vais devoir attendre que la brèche soit colmatée!
#5
Super. Maintenant qu’avec W8, nous sommes quasi obligés de fusionner nos contacts Skype avec nos contacts emails, nous allons pouvoir nous faire spammer tout le carnet d’adresses.
#6
#7
Donc dans leur base de données, le compte est unique, il y a surement un ID unique aussi… et l’update du password ce fait sur l’email, un champ qui n’est pas forcement unique
" />
#8
#9
Nous nous excusons pour la gêne occasionnée, mais l’expérience et la sécurité de l’utilisateur sont nos priorités.
Si c’était réellement le cas, peut être que ce genre de faille n’existerait pas ?
#10
C’est quoi le rapport avec Modern UI? (image d’illustration en page d’accueil)
#11
#12
#13
Skype affirme qu’un petit nombre d’utilisateurs potentiellement impactés est actuellement contacté.
Je comprend pas comment un pareil problème peut potentiellement impacter seulement un petit nombre d’utilisateurs.
#14
Voila pourquoi j’ai toujours préféré messenger… qui malheureusement vas disparaître en février
" />
#15
#16