Il y a eu ces derniers jours une controverse quant à la sécurité de Xbox Live, certains utilisateurs se plaignant que leur compte avait été détourné par des hackers, et que les usurpateurs en avaient profité pour faire chauffer leur carte bleue associée au compte (j’ai découvert à cette occasion qu’il est paraît-il rigoureusement impossible de demander à Microsoft d’oublier le numéro de carte enregistré, et aussi que le mois d’abonnement Gold que j’avais pris pour tester se renouvelait automatiquement depuis deux mois, ouch). Microsoft a fait son enquête et annoncé que la sécurité du réseau n’était pas en cause, et qu’il faut pas être neuneu et donner son mot de passe aux gens qui se font passer pour des administrateurs système, mais une nouvelle théorie émerge : certains affirment qu’il serait possible, en multipliant les appels au support technique, d’obtenir détail après détail suffisamment d’informations pour prendre le contrôle d’un compte (c’est-à-dire que le support ne va pas vous donner le mot de passe, mais selon les appels ils vont vous donner un nom, ou un bout d’adresse, etc., et en mettant tout bout à bout on peut les appeler une dernière fois, donner toutes les informations associées au compte, et demander la remise à zéro du mot de passe).

Bien sûr, 50% de l’activité d’un hacker consiste à se vanter d’exploits qu’on n’a pas vraiment accomplis, mais sachant que le social engineering est la base élémentaire du hacking et que le support technique est souvent le maillon faible de la chaîne de sécurité, je trouve cette théorie parfaitement crédible. Si les gens ne passaient pas leur temps à perdre leurs mots de passe, aussi, on ne serait pas obligés d’avoir des procédures pour les remettre à zéro.

P.S. Microsoft reconnaît les faits, s’excuse, et travaille à ce que ça ne se reproduise plus [via].