 |
La faille dans la réinitialisation du mot de passebloquée par Skype |
Le service de VoIP a annoncé la suspension temporaire de la fonction de réinitialisation du mot de passe de son site web. Une faille permettait à un pirate disposant d'une adresse mail d'un compte Skype de se l'approprier.
Skype a désactivé temporairement l'option de réinitialisation du
mot de passe disponible sur son site web. Cela fait suite à des rapports
montrant que cette fonction peut être utilisée pour détourner des comptes Skype
si les pirates connaissent les adresses mails qui y sont liés.
Les instructions sur la façon d'exploiter la faille de sécurité ont été
publiées pour la première fois mardi soir sur un forum de langue russe.
L'information a été ensuite postée sur Reddit et certains blogs où les
utilisateurs ont confirmé que la méthode fonctionnait. Elle était très simple.
Une personne disposant d'une adresse mail d'un compte existant peut s'inscrire.
Un message de Skype lui indique alors que cette adresse est déjà utilisée, mais
il peut continuer son inscription. Il se connecte sur son nouveau compte et se
rend sur la page de réinitialisation du mot de passe. Une notification de
réinitialisation était ensuite envoyée sur le client pour pouvoir changer le
mot de passe. Habituellement, ce type de lien est envoyé directement sur
l'adresse mail relié au compte.
Pour l'instant, il est difficile de savoir si la faille venait d'un défaut de
conception ou d'un bug dans le client et le site de Skype. Sravanthi
Agrawal, porte-parole de Skype a déclaré par courriel, « par mesure de
précaution, nous avons temporairement désactivé l'option de réinitialisation du
mot de passe. Nous allons continuer notre enquête sur le problème ». Il s'excuse
par avance de la gêne occasionnée.
Aucun commentaire:
Enregistrer un commentaire