Au cours du week-end, un groupe de chercheurs de deux universités américaines a révélé une vulnérabilité potentielle et sérieuse sur la Xbox 360, la console de Microsoft. Selon eux, la façon dont la carte de crédit est insérée dans la console fait que les informations sont enregistrées sur le disque dur et permet à toute personne disposant des bons outils de les récupérer et de les utiliser à d’autres fins.
En théorie, la carte de crédit ne serait utilisée que pour les transactions sur Live, le service de contenu de la Xbox 360. Mais les conclusions des chercheurs Rob D’Ovidio de l’université d’État du Dakota et Ashley Podhradsky de l’université de Drexel montrent qu’elle n’est pas seulement envoyée aux serveurs de Microsoft : les numéros sont enregistrés sur le disque dur. Ils affirment avoir acheté une Xbox 360 d’occasion et avoir pu, après avoir installé certains programmes et téléchargé le HD de la console, extraire le numéro de carte de crédit de l’ancien propriétaire. Le plus inquiétant : même après reformatage, les données resteraient sur le disque dur.
Microsoft, cependant, a été catégorique en affirmant que les allégations des chercheurs ne sont pas vraies. La société a déclaré à Joystiq que “Xbox ne stocke pas les données des cartes de crédit localement et il est donc très peu probable que ces informations aient été récupérées par la méthode décrite”, a déclaré Jim Alkove, directeur de la sécurité des loisirs chez Microsoft. Néanmoins, Microsoft travaillera avec les chercheurs pour savoir si la vulnérabilité est réelle ou s’il s’agit d’un problème spécifique à l’unité obtenue par les chercheurs.
Il peut sembler surréaliste que quelqu’un se donne la peine de fouiller dans les entrailles d’une Xbox 360 HD utilisée pour extraire la carte de crédit de quelqu’un. Mais maintenant que la faille a été révélée (et si Microsoft le prouve), les personnes malveillantes peuvent installer les outils utilisés par les chercheurs – qui sont faciles à trouver sur le web – et commencer à extraire les numéros de cartes à partir des consoles.
Vous feriez donc mieux d’attendre une position officielle de Microsoft avant de vendre votre console ou de l’amener à un service peu fiable. C’est-à-dire si vous êtes un peu paranoïaque au sujet de votre sécurité.