[MàJ] Skype : une faille permettait de prendre le contrôle d'un compte

La faille réside dans la réinitialisation du mot de passe. Puisque la technique ne fonctionne plus, nous nous permettons d’en dévoiler les détails :

1. Créer un nouveau compte Skype en utilisant l’email de la victime. Un avertissement préviendra que l’adresse est déjà utilisée, mais on peut continuer la procédure d’inscription.
2. Se connecter dans Skype avec le nouveau compte
3. Se rendre sur la page de réinitialisation du mot de passe et suivre la procédure
4. Une notification de réinitialisation est envoyée dans le client Skype et permet alors d’aller modifier le mot de passe.

La faille est facilement compréhensible mais réelle. Si vous vous servez de votre adresse email pour plusieurs comptes Skype, vous y recevrez toutes les notifications de nouvelles inscriptions, ce qui est normal. Cependant, depuis l’un des comptes, vous pouvez faire une demande de réinitialisation du mot de passe. Rien n’empêche malheureusement un parfait étranger d’être l’un de ses comptes. En possession d’un « jeton » de réinitialisation, il peut prendre possession du compte original.

Mais l’étape 3 ne fonctionne plus : que l’on clique sur l’oubli du pseudo ou l’oubli du mot de passe, la page se recharge en affichant le même contenu. L’information avait été remontée à Skype et il s’agit donc d’une mesure d’urgence. Elle suffit toutefois à couper le problème. Nous avons nous-mêmes tenté la manipulation et n’avons pas pu la terminer.

Skype ne donne pour l'instant pas de détails. Interrogé, l'éditeur nous a simplement indiqué : « Nous avons reçu des rapports au sujet d’une nouvelle faille de sécurité. En tant que mesure temporaire, nous avons désactivé la page de réinitialisation des mots de passe pendant que nous continuons à enquêter sur le problème. Nous nous excusons pour la gêne occasionnée, mais l’expérience et la sécurité de l’utilisateur sont nos priorités. »