L’énorme attention dont Skype a fait l’objet ces derniers jours peut même servir de publicité gratuite pour Microsoft, mais elle a également provoqué une grave faille de sécurité dans le programme. Cette vulnérabilité, déjà signalée dans les forums de discussion russes il y a quelques mois, permet à n’importe qui de voler un compte Skype à condition de connaître l’adresse électronique enregistrée.
The Next Web a testé la vulnérabilité avec succès et a signalé le problème à Skype. Selon eux, le problème réside dans la façon dont le programme gère la création de nouveaux comptes avec les adresses électroniques déjà enregistrées ainsi que le système de réinitialisation des mots de passe.
Lorsqu’un utilisateur saisit un courriel déjà enregistré lorsqu’il essaie de créer un nouveau compte dans l’application Skype, le service envoie un message avec le nom d’utilisateur à cette adresse pour rappeler à l’utilisateur qu’il est déjà enregistré. Mais dans le programme, l’utilisateur qui s’inscrit reçoit également la possibilité de réinitialiser le mot de passe du compte lié à cet e-mail, ce qui lui permet de prendre le contrôle de ce compte.
Peu de temps après avoir appris le problème, l’équipe Skype de Microsoft a désactivé le lien de réinitialisation du mot de passe par mesure de précaution. L’entreprise a déclaré dans un billet de blog officiel qu’elle “enquête sur ce problème” et s’excuse pour les désagréments causés.
On ne sait pas depuis combien de temps cette vulnérabilité existe, mais les premières indications de son existence dans ces forums russes remontent à au moins deux mois.