Lorsque l'on se connecte à un site Microsoft (Outlook, OneDrive, etc.), on le fait à l'aide d'une adresse mail et d'un mot de passe... Quoi de plus normal ? Mais une faille, voire une négligence de la part de Microsoft, vient d'être découverte : l'identifiant de connexion unique (le CID) est stocké en clair, sans subir le moindre chiffrement.
La faille en question a été découverte par ramen-hero, un blogueur chinois, qui l'a ensuite rapportée au site Ars Technica. En se connectant à un site Microsoft comme Outlook.com ou OneDrive, le navigateur enregistre le CID de l'utilisateur (un identifiant unique). Problème : le CID est stocké et transmis sous la forme d'un texte en clair, sans être chiffré. Une personne mal intentionnée qui analyse le trafic d'un utilisateur peut ainsi récupérer ce CID et l'utiliser à mauvais escient. S'il est impossible de trouver par ce biais les nom et mot de passe de connexion, il reste néanmoins envisageable pour un hacker de récupérer certaines informations : la photo de l'utilisateur ou son pseudo sur OneDrive