Microsoft a indiqué hier qu’une vulnérabilité au niveau de son système de connexion a été corrigée. Des experts en sécurité ont déclaré que cette faille pouvait être utilisée par des individus mal intentionnés pour accéder aux comptes en lignes des utilisateurs. Le bug permettait de voler les jetons de compte utilisés par les sites web et les applications pour permettre aux utilisateurs de se connecter à leur compte sans avoir à saisir un mot de passe. Ces jetons sont créés par une application ou un site pour remplacer le nom d’utilisateur et le mot de passe après la connexion d’un utilisateur.

Le bug au niveau du système de connexion de Microsoft a été découvert par les chercheurs en sécurité de la société israélienne de cybersécurité « CyberArk ». Il a été signalé à Microsoft fin octobre. L’entreprise a également identifié des dizaines de sous-domaines non enregistrés connectés à certaines applications développées par Microsoft. Ces sous domaines peuvent être utilisée pour générer automatiquement des jetons d’accès sans nécessiter le consentement explicite de l’utilisateur. Les chercheurs ont déclaré que certains sous domaine peuvent générer un jeton d’accès en incitant une victime à cliquer sur un lien spécialement conçu dans un courrier électronique ou sur un site. Toutefois, cette pratique peut également se faire à la manière « zéro clic », c'est-à-dire sans aucune interaction de la part de l’utilisateur. Un site web malveillant comportant une page web masquée permettrait de voler les jetons de compte d’un utilisateur. Ce n’est pas la première fois que Microsoft est obligé de corriger une vulnérabilité au niveau de son système de connexion. Il y a un an, l’entreprise a dû corriger un bug similaire qui permettait de modifier les enregistrements d’un sous-domaine Microsoft mal configuré et de voler des jetons de compte Office.

À lire aussi CloudSimple : Google rachète une solution cloud crucial de Microsoft