Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

[MàJ] Skype : une faille permettait de prendre le contrôle d’un compte

Une simple adresse email

[MàJ] Skype : une faille permettait de prendre le contrôle d'un compte

Le 14 novembre 2012 à 16h08

Une importante faille de sécurité dans le fonctionnement du réseau Skype permettait à n’importe qui de prendre possession d’un compte en ne connaissant que l’adresse email utilisée. Depuis peu, cette procédure ne fonctionne plus, mais elle a potentiellement déjà fait des victimes.

skype

 

La faille réside dans la réinitialisation du mot de passe. Puisque la technique ne fonctionne plus, nous nous permettons d’en dévoiler les détails :

  1. Créer un nouveau compte Skype en utilisant l’email de la victime. Un avertissement préviendra que l’adresse est déjà utilisée, mais on peut continuer la procédure d’inscription.
  2. Se connecter dans Skype avec le nouveau compte
  3. Se rendre sur la page de réinitialisation du mot de passe et suivre la procédure
  4. Une notification de réinitialisation est envoyée dans le client Skype et permet alors d’aller modifier le mot de passe.

La faille est facilement compréhensible mais réelle. Si vous vous servez de votre adresse email pour plusieurs comptes Skype, vous y recevrez toutes les notifications de nouvelles inscriptions, ce qui est normal. Cependant, depuis l’un des comptes, vous pouvez faire une demande de réinitialisation du mot de passe. Rien n’empêche malheureusement un parfait étranger d’être l’un de ses comptes. En possession d’un « jeton » de réinitialisation, il peut prendre possession du compte original.

 

Mais l’étape 3 ne fonctionne plus : que l’on clique sur l’oubli du pseudo ou l’oubli du mot de passe, la page se recharge en affichant le même contenu. L’information avait été remontée à Skype et il s’agit donc d’une mesure d’urgence. Elle suffit toutefois à couper le problème. Nous avons nous-mêmes tenté la manipulation et n’avons pas pu la terminer.

 

Skype ne donne pour l'instant pas de détails. Interrogé, l'éditeur nous a simplement indiqué : « Nous avons reçu des rapports au sujet d’une nouvelle faille de sécurité. En tant que mesure temporaire, nous avons désactivé la page de réinitialisation des mots de passe pendant que nous continuons à enquêter sur le problème. Nous nous excusons pour la gêne occasionnée, mais l’expérience et la sécurité de l’utilisateur sont nos priorités. » 

Commentaires (16)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Pfiouuuu, épique la faille ! Pourtant pas de “can hack any skype account you want for 10$$$” sur les fofo douteux des tréfonds du net, bizarre que ça soit passé autant inaperçu ^^

votre avatar



“4.Une notification de réinitialisation est envoyée dans le client Skype et permet alors d’aller modifier le mot de passe.”



Est-ce que si l’utilisateur “réel” reçoit un mail (sur l’adresse renseignée pour le compte) indiquant qu’il y a eu une modification de mot de passe ? Est-ce qu’il ne pourra plus se connecter ? Ou est-ce que le compte pourrait être utilisé par un autre “en même temps” sans qu’on s’en aperçoive ?

votre avatar

J’espère qu’ils vont revoir leur système de jetons parce qu’il m’est impossible de réinitialisé le mot de passe de mon compte Skype créer avec le compte Microsoft : le jeton n’est jamais reconnu –’

votre avatar

mince. moi j’ai vraiment perdu mon mot de passe à skype. et je retrouve même plus l’adresse mail associée… un peu con de ma part, mais je vais devoir attendre que la brèche soit colmatée!

votre avatar

Super. Maintenant qu’avec W8, nous sommes quasi obligés de fusionner nos contacts Skype avec nos contacts emails, nous allons pouvoir nous faire spammer tout le carnet d’adresses.

votre avatar







arno53 a écrit :



J’espère qu’ils vont revoir leur système de jetons parce qu’il m’est impossible de réinitialisé le mot de passe de mon compte Skype créer avec le compte Microsoft : le jeton n’est jamais reconnu –’





Moi aussi. C’est peut-être normal du coup, puisque qu’il n’y a pas vraiment de compte Skype créé.


votre avatar

Donc dans leur base de données, le compte est unique, il y a surement un ID unique aussi… et l’update du password ce fait sur l’email, un champ qui n’est pas forcement unique <img data-src=" />

votre avatar







Aloyse57 a écrit :



Super. Maintenant qu’avec W8, nous sommes quasi obligés de fusionner nos contacts Skype avec nos contacts emails, nous allons pouvoir nous faire spammer tout le carnet d’adresses.





C’est quoi ça?


votre avatar



Nous nous excusons pour la gêne occasionnée, mais l’expérience et la sécurité de l’utilisateur sont nos priorités.



Si c’était réellement le cas, peut être que ce genre de faille n’existerait pas ?

votre avatar

C’est quoi le rapport avec Modern UI? (image d’illustration en page d’accueil)

votre avatar







FrenchPig a écrit :



Moi aussi. C’est peut-être normal du coup, puisque qu’il n’y a pas vraiment de compte Skype créé.







Bah c’est bien gentil tout ca mais j’aimerais pouvoir connaitre mon mot de passe (qui n’est pas le meme que le compte Ms <img data-src=" />) pour pouvoir y associer mon facebook … Et donc unifier ma messagerie instantannée …


votre avatar







Aloyse57 a écrit :



Super. Maintenant qu’avec W8, nous sommes quasi obligés de fusionner nos contacts Skype avec nos contacts emails, nous allons pouvoir nous faire spammer tout le carnet d’adresses.





Seule solution, ne pas utiliser une messagerie Microsoft ?


votre avatar



Skype affirme qu’un petit nombre d’utilisateurs potentiellement impactés est actuellement contacté.



Je comprend pas comment un pareil problème peut potentiellement impacter seulement un petit nombre d’utilisateurs.

votre avatar

Voila pourquoi j’ai toujours préféré messenger… qui malheureusement vas disparaître en février<img data-src=" />

votre avatar







djshotam a écrit :



Voila pourquoi j’ai toujours préféré messenger… qui malheureusement vas disparaître en février<img data-src=" />







Voilà pourquoi j’évite Microsoft ! Et dès qu’ils achètent un produit, ils le massacrent !!!


votre avatar







Melaure a écrit :



Voilà pourquoi j’évite Microsoft ! Et dès qu’ils achètent un produit, ils le massacrent !!!







Même pas déguisé le <img data-src=" /> <img data-src=" />


[MàJ] Skype : une faille permettait de prendre le contrôle d’un compte

Fermer