FREN

#FF00AA


23 mar. 2007

Le support technique de Microsoft aiderait les hackers ? [MàJ]

@360@

Il y a eu ces derniers jours une controverse quant à la sécurité de Xbox Live, certains utilisateurs se plaignant que leur compte avait été détourné par des hackers, et que les usurpateurs en avaient profité pour faire chauffer leur carte bleue associée au compte (j’ai découvert à cette occasion qu’il est paraît-il rigoureusement impossible de demander à Microsoft d’oublier le numéro de carte enregistré, et aussi que le mois d’abonnement Gold que j’avais pris pour tester se renouvelait automatiquement depuis deux mois, ouch). Microsoft a fait son enquête et annoncé que la sécurité du réseau n’était pas en cause, et qu’il faut pas être neuneu et donner son mot de passe aux gens qui se font passer pour des administrateurs système, mais une nouvelle théorie émerge : certains affirment qu’il serait possible, en multipliant les appels au support technique, d’obtenir détail après détail suffisamment d’informations pour prendre le contrôle d’un compte (c’est-à-dire que le support ne va pas vous donner le mot de passe, mais selon les appels ils vont vous donner un nom, ou un bout d’adresse, etc., et en mettant tout bout à bout on peut les appeler une dernière fois, donner toutes les informations associées au compte, et demander la remise à zéro du mot de passe).

Bien sûr, 50% de l’activité d’un hacker consiste à se vanter d’exploits qu’on n’a pas vraiment accomplis, mais sachant que le social engineering est la base élémentaire du hacking et que le support technique est souvent le maillon faible de la chaîne de sécurité, je trouve cette théorie parfaitement crédible. Si les gens ne passaient pas leur temps à perdre leurs mots de passe, aussi, on ne serait pas obligés d’avoir des procédures pour les remettre à zéro.

 

P.S. Microsoft reconnaît les faits, s’excuse, et travaille à ce que ça ne se reproduise plus [via].

Want to know when I post new content to my blog? It's a simple as registering for free to an RSS aggregator (Feedly, NewsBlur, Inoreader, …) and adding www.ff00aa.com to your feeds (or www.garoo.net if you want to subscribe to all my topics). We don't need newsletters, and we don't need Twitter; RSS still exists.

Legal information: This blog is hosted par OVH, 2 rue Kellermann, 59100 Roubaix, France, www.ovhcloud.com.

Personal data about this blog's readers are not used nor transmitted to third-parties. Comment authors can request their deletion by e-mail.

All contents © the author or quoted under fair use.