Des étudiants mettent à mal la sécurité de CardSpace
Des étudiants de l'université de la Ruhr en Allemagne affirment avoir trouvé un moyen de récupérer les identifiants protégés par CardSpace. Pour Kim Cameron, architecte identité chez Microsoft, l'opération est tellement complexe que ce n'est pas une faille proprement dite.
Cardspace, voulu par Microsoft comme un coffre-fort de l'identité personnelle, ne serait pas inviolable. Distribué avec Windows Vista et les derniers service packs de XP, CardSpace conserve les informations d'identité de l'utilisateur (comme ses coordonnées bancaires) sur son ordinateur ou chez un tiers et les transmet de façon sécurisée aux sites Web authentifiés (comme une boutique en ligne).
Deux étudiants et un professeur de l'université de la Ruhr ont affirmé avoir trouver le moyen de voler ces informations confidentielles. Il s'agit de modifier le DNS (système de noms de domaines) du PC contenant les informations voulues, puis de le rediriger sur un site Web qui, lui, s'emparera des identifiants voulus.
Pour les chercheurs allemands, cette attaque n'est qu'un exemple de faisabilité (proof of concept) pour l'instant, mais « il est raisonnable d'envisager des attaques réelles prochaines sur CardSpace ».
[[page]]
Kim Cameron, architecte identité chez Microsoft et principal développeur de CardSpace, n'est pas du même avis. Sur son blog, il explique en effet que pour fonctionner, l'attaque doit d'une façon ou d'une autre convaincre l'utilisateur de passer outre certains avertissements de Microsoft comme ceux déconseillant la navigation sur tel ou tel site, et donc de lever lui-même ses barrières de sécurité. « Pour moi, conclut-il, la sécurité de Cardspace n'a pas été compromise. »
Néanmoins, le scénario décrit par les étudiants en sécurité est tout à fait faisable, puisque ce type d'ingénierie sociale est déjà utilisé depuis de nombreuses années par les spammeurs et autres adeptes du phishing. En outre, nombre de gens, agacés par les alertes incessantes de Vista, passent outre sans lire le contenu des avertissements.