Rejoignez les
34721 abonnés

Grosse faille dans Skype permettant de prendre le contrôle de n’importe quel compte avec juste une adresse email

Publié le par Nikopik dans la catégorie Sécurité

Une énorme faille sur Skype vient d’être rendue publique à l’instant, permettant à n’importe qui de prendre le contrôle d’un compte et d’accéder à l’historique des conversations !

Il ne vous faut que l’adresse email utilisée lors de l’inscription du compte Skype pour utiliser cette faille.

Voyons pas à pas comment ce détournement de Skype est possible, et comment s’en protéger :

1. Allez sur le site de Skype, créez un nouveau compte. Saisissez l’adresse email de votre victime (ici crackme33@yahoo.com) :

Si cet email a bien été utilisé précédemment pour créer un compte Skype, vous aurez l’option You already have a Skype account qui s’affichera.

Saisissez des identifiants bidons, choisissez un nom d’utilisateur pour Skype et notez-le bien. Notez bien aussi le mot de passe choisi.

Vous allez être redirigé vers la page de votre nouveau compte Skype. Déconnectez-vous de cette page.

2 . Connectez-vous avec le logiciel Skype avec vos nouveaux identifiants.

Un écran va vous proposer de chercher vos amis pour discuter avec eux. Cliquez quelque part sur cet écran pour que vos actions soient prises en compte sur cet écran. Ici c’est sur l’emplacement de la flèche rouge qu’il faut cliquer par exemple :

Appuyez sur la touche F5 de votre clavier pour actualiser cet écran d’accueil. Vous allez avoir à le faire 3 ou 4 fois environ, jusqu’à ce que vous voyez Bring your Facebook friends into Skype. Cliquez sur No thanks, blah-blah-blah.

Vous obtiendrez alors l’écran d’accueil avec une bannière de publicité :

3. Allez sur la page de réinitialisation du mot de passe de Skype. Saisissez l’email de votre victime :

Cliquez sur le bouton Submit. Une notification de Skype va alors s’afficher : Password token :

4. Allez sur le logiciel Skype. Sur l’écran d’accueil, vous allez voir la fenêtre Password token. Cliquez sur more info et allez sur le lien temporary code :

Une page va s’ouvrir sur votre navigateur. Vous allez pouvoir sélectionner le compte de votre victime, ou votre compte jetable.

5. Choisissez le compte de votre victime, et cliquez sur la bouton Change password and sign me in. Vous allez alors pouvoir choisir un nouveau mot de passe pour le compte Skype de votre victime :

Vous allez être redirigé vers la page de connexion à Skype. il ne vous reste plus qu’à saisir l’adresse email de votre victime, ainsi que le nouveau mot de passe que vous avez choisi, et vous avez accès à l’intégralité du compte Skype !

Pour se protéger de cette attaque, la seule méthode existante aujourd’hui est de remplacer l’adresse email principale utilisée par le compte Skype par une adresse que vous seul connaissez.

Il faut pour cela que vous ajoutiez une nouvelle adresse email, que vous la passiez en adresse principale, et que vous effaciez la précédente adresse !

Une faille hallucinante, qui a été découverte par un hacker ayant prévenu Microsoft il y a déjà 3 mois ! On peut voir qu’ils ont été très réactifs pour combler cette vulnérabilité…

 

Mise à jour : devant l’ampleur du buzz qu’a pris cette information, Microsoft a suspendu la possibilité de recouvrer son mot de passe par le biais utilisé ici pour changer le mot de passe d’un compte Skype.

  • Problème signalé depuis 3 mois, nombreux piratages de comptes d’une manière plus confidentielle : aucune action de la part de Microsoft.
  • Faille exposée publiquement avec méthode détaillée, 1h plus tard : blocage de cette vulnérabilité.

Faut-il une meilleure démonstration pour montrer l’intérêt de dévoiler publiquement les failles de sécurité informatique ?

Source



9 réponses à Grosse faille dans Skype permettant de prendre le contrôle de n’importe quel compte avec juste une adresse email

  1. Sarah

    Ouch ! ça craint :/

  2. DarkRedman

    C’est vrai que ça craint mais je ne me fait pas de soucis, je partage mon e-mail avec trop peu de contacts pour me sentir concerné.

    3 mois (muah fait le chat dans Astérix et Obélix Mission Cléopâtre lol)

    ça fait beaucoup, mais c’est typique de microsoft on se demande ce qu’ils font dans leur bureaux ?!

  3. Arkthus

    Ouais bah pour corriger ça chez Microsoft, suffit de ne pouvoir enregistrer qu’un seul pseudo Skype par adresse e-mail et de ne supprimer le Password token

  4. BlueSpiritZ

    Ouais mais bon faut vite en profiter, ils vont réparer ça dans quelques heures/jours.

  5. Plopiday

    Testé avec 3 comptes, jamais la petite fenêtre password token ;-) Et je suis bien tout en détail.
    Je pense que y’a pas trop de risques, ça a pas l’air de vraiment marcher …

    • Nikopik

      Lis donc la mise à jour à la fin de l’article ;-)

      • Plopiday

        Vu juste après ^^ merci

  6. Shill

    Bravo pour la conclusion :)

  7. FDDF

    alert(‘Mdr Hack’)

Ajouter un commentaire