Des étudiants mettent à mal la sécurité de CardSpace, l'espace d'identification de Microsoft
Des étudiants de l'université de la Ruhr en Allemagne affirment avoir trouvé un moyen de récupérer les identifiants protégés par CardSpace, l'espace d'identification de Vista. Pour Kim Cameron, architecte identité chez Microsoft, l'opération est tellement complexe que ce n'est pas une faille proprement dite. CardSpace a été voulu par Microsoft comme un coffre-fort de l'identité personnelle. Or, ce coffre-fort ne serait pas inviolable, selon des étudiants et un professeur de l'université de la Ruhr. Distribué avec Windows Vista et avec les derniers Service Packs de XP, CardSpace conserve les informations d'identité de l'utilisateur (comme ses coordonnées bancaires) sur son ordinateur ou chez un tiers et les transmet de façon sécurisée aux sites Web authentifiés (comme une boutique en ligne). Lever soi-même les barrières de sécurité, selon Microsoft Les deux étudiants et le professeur ont affirmé avoir trouvé le moyen de voler ces informations confidentielles. En pratique, il s'agit de modifier le DNS (système de noms de domaines) du PC contenant les informations voulues, puis de le rediriger sur un site Web qui, lui, s'emparera des identifiants voulus. Pour les chercheurs allemands, cette attaque n'est qu'un exemple de faisabilité (proof of concept) pour l'instant, mais « il est raisonnable d'envisager des attaques réelles prochaines sur CardSpace ». Kim Cameron, architecte identité chez Microsoft et principal développeur de CardSpace, ne partage pas cet avis. Sur son blog, il explique en effet que pour fonctionner, l'attaque doit d'une façon ou d'une autre convaincre l'utilisateur de passer outre certains avertissements de Microsoft dont ceux déconseillant la navigation sur tel ou tel site, et donc de lever lui-même ses barrières de sécurité. Un scénario tout à fait réalisable « Pour moi, la sécurité de Cardspace n'a pas été compromise, conclut-il. Néanmoins, le scénario décrit par les étudiants en sécurité est tout à fait réalisable, puisque ce type d'ingénierie sociale est déjà utilisé depuis de nombreuses années par les spammeurs et autres adeptes du phishing. En outre, nombre de gens, agacés par les alertes incessantes de Vista, passent outre sans lire le contenu des avertissements.
