Des étudiants mettent à mal la sécurité de CardSpace

Des étudiants de l'université de la Ruhr en Allemagne affirment avoir trouvé un moyen de récupérer les identifiants protégés par CardSpace. Pour Kim Cameron, architecte identité chez Microsoft, l'opération est tellement complexe que ce n'est pas une faille proprement dite.

Cardspace, voulu par Microsoft comme un coffre-fort de l'identité personnelle, ne serait pas inviolable. Distribué avec Windows Vista et les derniers service packs de XP, CardSpace conserve les informations d'identité de l'utilisateur (comme ses coordonnées bancaires) sur son ordinateur ou chez un tiers et les transmet de façon sécurisée aux sites Web authentifiés (comme une boutique en ligne).

Deux étudiants et un professeur de l'université de la Ruhr ont affirmé avoir trouver le moyen de voler ces informations confidentielles. Il s'agit de modifier le DNS (système de noms de domaines) du PC contenant les informations voulues, puis de le rediriger sur un site Web qui, lui, s'emparera des identifiants voulus.

Pour les chercheurs allemands, cette attaque n'est qu'un exemple de faisabilité (proof of concept) pour l'instant, mais « il est raisonnable d'envisager des attaques réelles prochaines sur CardSpace ».