Fuites d'identifiants sur certains services Microsoft

[ѠOOT]

(En) Microsoft sites expose visitors profile info in plain text
User account identifier exposed in multiple ways, de-anonymizing traffic.

If you think using HTTPS would be enough to protect your privacy, think again. When users connect to their Microsoft user account page, Outlook.com, or OneDrive.com even when using HTTPS, the connection leaks a unique identifier that can be used to retrieve their name and profile photo in plaintext.

A unique identifier called a CID is exposed because it's sent as part of a Domain Name Service lookup for the address of the storage server containing profile data and as part of the initiation of an encrypted connection. As a result, it could be used to track users when they connect to services from both computers and mobile devices, possibly even identifying users as their requests leave the Tor anonymizing network.

* Microsoft, stop sending user identifiers in clear text


(FR:⬛⬛⬛) Fuite d'identifiants chez Microsoft

L'alerte est lancée sur certains services en ligne de Microsoft sur de possibles fuites d'identifiants mettant potentiellement en danger la vie privée des utilisateurs.

Une requête DNS, le partage d'un fichier, la connexion de deux applications, l'utilisation d'un proxy…

L'éditeur prend au sérieux ce constat établi par un chercheur en sécurité informatique basé en Chine et vérifié par Ars Technica. Il assure « travailler à la résolution du problème ».

Mais de quel problème parle-t-on, au juste ? De l'accessibilité, en clair, d'un certain CID.

Cet identifiant unique associé à chaque compte utilisateur dans l'écosystème Microsoft est utilisé par la plupart des API de la firme. Se présentant sous la forme d'un entier représenté sur 16 caractères en notation hexadécimale, il peut permettre de récupérer… un très grand nombre d'informations personnelles.

Tout se passe sur la page de connexion à Outlook.com, à OneDrive ou encore au compte Microsoft. Une requête HTTPS est envoyée vers le serveur sur lequel sont stockées les informations de profil de l'utilisateur ; notamment sa photo.

Intégré dans cette requête, le CID devient accessible à quiconque est capable d'espionner le trafic.

Lire la suite : http://www.itespresso.fr/securite-it-fu ... 09816.html

La méthode n'est pas nouvelle, il aura suffit d'un peu de "bruit" pour secouer le cocotier.
Microsoft ne s'est pas encore officiellement exprimé sur le sujet.

[angelique]

Merveilleux !