Microsoft Messenger récolterait des données personnelles à l’insu des utilisateurs
Publié le 05/02/2002 par Etienne Wery
Joli pavé dans la mare que vient de jeter Richard Antony Burton, membre de BugTraq ! Microsoft et son rival AOL se livrent actuellement une guerre judiciaire impitoyable, la première accusant notamment la seconde d’installer des backdoors dans ses logiciels. Par le jeu de l’arroseur arrosé, voilà que Microsoft doit répondre d’accusations similaires. Le découvreur…
Joli pavé dans la mare que vient de jeter Richard Antony Burton, membre de BugTraq ! Microsoft et son rival AOL se livrent actuellement une guerre judiciaire impitoyable, la première accusant notamment la seconde d’installer des backdoors dans ses logiciels. Par le jeu de l’arroseur arrosé, voilà que Microsoft doit répondre d’accusations similaires.
Le découvreur du bug accuse Microsoft d’avoir volontairement truffé MSN Messenger d’un espion qui permet à un site web, via l’utilisation d’un contrôle ActiveX, de connaître le surnom utilisé dans MSN Messenger par les visiteurs de ce site, ainsi que les surnoms de chacun des contacts. Il suffit pour cela que l’internaute utilise Internet Explorer et que MSN Messenger soit ouvert au même moment.
Le site de M. Burton signale ceci :
If you are running MSN messenger (and have JavaScript enabled) you should see your name displayed below, along with a list of all your contacts. Note: this has been tested on MSN Messenger (4.6.0073) for Win2k & Windows Messenger (4.6.0073) for WinXP (all with IE 6).
If this page was hosted on microsoft.com, hotmail.com or hotmail.msn.com you would also see your email address and your contacts email addresses (instead of « undefined »).
This information could be placed in a cookie and next time you request an item from the server (page, image, etc.), this information would be sent back to the server, allowing Microsoft to know who you are and who your friends are.
By default, everyone has access to your display name and those of your contacts, but only Microsoft can get your email address this way. However third parties could get access to the email addresses, by simply adding a single entry to your registry. That would require a little more effort, but is easily done. e.g. Installing software which contains « spyware » or « adware » (such as Kazaa, Go!Zilla, Direct Connect, etc.*), could easily add such an entry to your registry. After that you could be sending your email address to them every time your computer loads an advertising banner from their site.
Bref, ce n’est pas une mais trois failles de sécurité qu’il dit avoir découvert !
-
Primo, comme nous l’expliquons ci-dessus, tout titulaire d’un site peut, via l’utilisation d’un contrôle ActiveX, connaître le surnom utilisé dans MSN Messenger par ses visiteurs, ainsi que les surnoms de chacun des contacts. Il suffit pour cela que l’internaute utilise Internet Explorer et que MSN Messenger soit ouvert au même moment.
Vous ne connaissez pas les ActiveX ? Les contrôles ActiveX regroupent une série de technologies dérivées des spécifications OLE de Microsoft, relatives à la création de documents composites et à la communication entre applications, permettant le partage de données et leur mise à jour par la création d’objets liés ou incorporés. Les contrôles ActiveX présentent une dangerosité potentielle plus grande que les scripts et applets Java. Résolument tournés vers un environnement de réseaux, ils sont capables de réaliser à distance virtuellement n’importe quelle opération : lire un fichier, le modifier ou l’effacer, lancer un programme exécutable, transmettre des données ou des fichiers, connecter des machines, etc. Il devient par exemple très simple de rapatrier le fichier contenant tout l’historique des sites visités et d’en déduire un profil très précis. En principe, tout contrôle ActiveX se signale par une fenêtre ad hoc avant son exécution et est signé par un code qui en identifie l’auteur, mais cette mesure de protection ne permet qu’un contrôle a posteriori et peut être désactivée ou contournée.
-
Secundo, tous les sites sous les domaines «microsoft.com», «hotmail.com» ou «hotmail.msn.com» ont accès à davantage d’informations. MSN Messenger leur permet en effet d’obtenir également l’adresse de courrier électronique du visiteur et de ses contacts.
-
Tertio, moyennant une toute petite modification de la base de registres de l’ordinateur du visiteur, n’importe quel site peut jouir des droits repris ci-dessus sub. 2 et éventuellement faire partager ce privilège aux sites de son choix. Il suffit pour cela que le visiteur du site télécharge un fichier qui fait la modification discrètement. Tout éditeur de logiciels pourrait implémenter ce type de subtilité et récolter ainsi ces informations. On sait que certains sites – souvent pornographiques – travaillent beaucoup avec des logiciels téléchargeables, et ce serait une occasion inespérée d’accéder à ces informations. Ensuite, l’utilisation commerciale peut vraiment commencer …
Dubitatif ? Le découvreur du bug a ouvert un site web avec un module un peu particulier. Si vous acceptez de télécharger volontairement ce type de modification de la base de registre (à supprimer ensuite bien entendu !), il suffit de se rendre sur http://raburton.members.easyspace.com/msn/ pour effectuer le téléchargement et subitement voir apparaître tous vos contacts avec leur adresse électronique
Et la vie privée ?
Dans son dernier rapport, la Cnil rappelle qu’il existe trois sources de collecte de données personnelles) : (i) collecte à partir d’enregistrements volontaires sur des sites web (ii) collecte à partir de listes d’e-mails fournies par des tiers (revente de fichiers) (iii) collecte « sauvage » dans les espaces publics d’internet (web, forums, etc.). Dans le cas d’espèce, il s’agit de collecte sauvage.
Selon la Cnil, la collecte automatisée à des fins de prospection commerciale de tous les e-mails figurant dans des espaces publics serait contraire :
– au principe de finalité du traitement des données personnelles, les espaces de discussion de l’internet ayant pour finalité d’être des lieux de liberté d’expression et de communication et non des espaces de promotion commerciale ;
– à l’obligation d’information qui pèse sur le collecteur des données, dans la mesure où la collecte devrait être subordonnée au « « consentement indubitable » des personnes concernées » ;
– au droit d’opposition consacré à l’article 14 de la directive, dans la mesure où la personne concernée n’est pas mise en mesure de s’opposer à l’utilisation commerciale de ses données ou à la transmission à des tiers.
Microsoft n’a pas encore réagit officiellement. Nous vous tiendrons au courant.