Faille corrigée dans l’authentification, Microsoft offre 13 000$
Un chercheur en sécurité s'est vu récompensé par Microsoft suite à la faille qu'il a trouvée dans le système d'authentification Microsoft, qui permet à l'attaquant d'accéder aux comptes en ligne d'un utilisateur pour différents services : Outlook, Azure et Office. En guise de récompense, il a obtenu la somme de 13 000 dollars.
Wesley Wineberg de chez Synack avait découvert une faille CSRF dans l'authentification Microsoft OAuth, aujourd'hui c'est Jack Whitton qui a découvert une faille dans le système d'authentification principal.
La vulnérabilité touche l'authentification au travers des sites login.live.com, login.windows.com et login.microsoftonline.com, à cause d'un paramètre "wreply" qui contient une faille CSRF. Le paramètre permettant de gérer un jeton de connexion, il pourrait se trouver détourné vers l'attaquant qui pourrait alors profiter de l'ouverture de session initiée par l'utilisateur.
Deux jours après que Jack Whitton ait remonté l'information auprès de Microsoft, l'éditeur a corrigé la faille. Ceci remonte au 24 janvier dernier.
Un geste de reconnaissance appréciable de la part de Microsoft. En tout cas, cette petite histoire devrait rappeler à tout un chacun le caractère déterminant de la sécurisation informatique. Pour les entreprises, rien ne vaut les compétences des prestataires dédiés.