Microsoft risque encore une fois de se retrouver dans l´eau bouillante suite à la découverte d´une pratique pour le moins douteuse de sa part. Les utilisateurs de MSN Messenger et Internet Explorer sont particulièrement à risque.
Pour une entreprise ayant maintes fois accusé America Online (AOL) d´utiliser des portes dérobées (backdoors) dans son logiciel de messagerie instantanée AOL Instant Messenger (AIM) au plus fort de la guerre, Microsoft cachait elle-même quelques squelettes dans son placard.
Un contributeur à la liste de diffusion BugTraq, Richard Antony Burton, a découvert que Microsoft avait volontairement implémenté une fonction dans MSN Messenger qui permet, via l´utilisation d´un contrôle ActiveX, à n´importe quel webmestre de recueillir le surnom utilisé dans MSN Messenger par ses visiteurs, ainsi que les surnoms de chacun de leurs contacts. Il suffit pour ce faire que l´internaute utilise Internet Explorer et que MSN Messenger soit ouvert au même moment.
Pire encore: les sites sous les domaines «microsoft.com», «hotmail.com» ou «hotmail.msn.com» ont accès à davantage d´informations. En raison de permissions implémentées directement dans MSN Messenger, il leur est possible d´obtenir également l´adresse de courriel du visiteur et de ses contacts (généralement une adresse Hotmail).
Et encore pire: en faisant une modification toute simple dans la base de registres de l´ordinateur des visiteurs, n´importe quel webmestre peut accorder ces permissions aux sites de son choix, dont le sien. Il suffit pour cela qu´il invite l´utilisateur à télécharger un fichier qui pourrait faire la modification discrètement. Il pourrait par exemple s´agir du programme d´installation d´un logiciel.
Pour accorder ces permissions, il suffit d´ajouter des suffixes de noms de domaine au registre «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Messenge
rService\Policies\Suffixes». En ajoutant simplement «.com», par exemple, on ouvre l´accès à tous les sites utilisant un nom de domaine en «.com».
Pour récupérer les informations recueillies, il suffirait, au moment où elles sont extirpées, de les placer dans un fichier témoin (cookie), pour ensuite y avoir accès au moment où l´utilisateur demandera à télécharger un autre item sur le site (page, image, etc.)
En résumé, un éditeur de logiciel «gratuit» pourrait inclure le code nécessaire à la modification de la base de registres dans l´installateur, puis inviter (ou forcer) les utilisateurs à visiter son site afin de mettre la main sur l´adresse de courriel de l´utilisateur et celle de ses copains. Un outil de marketing pour le moins puissant.
Le découvreur de cette pratique a mis en ligne un outil permettant de prouver ses dires. Un coup d´oeil au code source de cette page suffit à comprendre que les manipulations nécessaires à l´obtention de ces informations ne sont pas très complexes.
Puisqu´elle dépend de l´utilisation de contrôles ActiveX, la manoeuvre ne fonctionne qu´avec Internet Explorer sur Windows. Les utilisateurs de Mac, de Netscape, d´Opera, d´ICQ, d´AIM ou d´autres logiciels substituts à Windows, Internet Explorer ou MSN Messenger sont à l´abri.
