La faille dans la réinitialisation du mot de passe bloquée par Skype
Le service de VoIP a annoncé la suspension temporaire de la fonction de réinitialisation du mot de passe de son site web. Une faille permettait à un pirate disposant d'une adresse mail d'un compte Skype de se l'approprier.
Skype a désactivé temporairement l'option de réinitialisation du mot de passe disponible sur son site web. Cela fait suite à des rapports montrant que cette fonction peut être utilisée pour détourner des comptes Skype si les pirates connaissent les adresses mails qui y sont liés.
Les instructions sur la façon d'exploiter la faille de sécurité ont été publiées pour la première fois mardi soir sur un forum de langue russe. L'information a été ensuite postée sur Reddit et certains blogs où les utilisateurs ont confirmé que la méthode fonctionnait. Elle était très simple. Une personne disposant d'une adresse mail d'un compte existant peut s'inscrire. Un message de Skype lui indique alors que cette adresse est déjà utilisée, mais il peut continuer son inscription. Il se connecte sur son nouveau compte et se rend sur la page de réinitialisation du mot de passe. Une notification de réinitialisation était ensuite envoyée sur le client pour pouvoir changer le mot de passe. Habituellement, ce type de lien est envoyé directement sur l'adresse mail relié au compte.
Pour l'instant, il est difficile de savoir si la faille venait d'un défaut de conception ou d'un bug dans le client et le site de Skype. Sravanthi Agrawal, porte-parole de Skype a déclaré par courriel, « par mesure de précaution, nous avons temporairement désactivé l'option de réinitialisation du mot de passe. Nous allons continuer notre enquête sur le problème ». Il s'excuse par avance de la gêne occasionnée.
