Vols de comptes Xbox LIVE : la faute à Xbox.com
Un utilisateur pense avoir trouvé la brèche ayant permis les nombreux vols de comptes Xbox LIVE remarqués ces derniers temps.
Bien que difficile à quantifier avec précision, les vols de comptes Xbox LIVE sont trop fréquents pour résulter de quelques hameçonnages ici et là. Le site Hacked on Xbox, lancé il y a quelques jours par Susan Taylor (lire son témoignage) commence d'ailleurs à héberger plusieurs cas de victimes. Comme Microsoft le soutien, il n'y a certainement aucune brèche directe dans le Xbox LIVE, sans quoi les vols de comptes seraient nettement plus massifs. Mais de l'avis général, il y a nécessairement une brèche de sécurité quelque part.
Selon Analog Hype, la brèche en question proviendrait du site officiel Xbox.com. Un certain Jason Coutee dit avoir découvert lui-même la technique utilisée par les pirates pour s'emparer du compte de quelqu'un. Jason Coutee travaillant en tant que Network Infrastructure Manager, il a enquêté lui-même suite au vol de son compte Xbox LIVE.
Sa théorie est la suivante. Il se trouve que sur sa page de connexion, Xbox.com autorise l’envoi d’un mot de passe un nombre illimité de fois, et demande seulement un captcha après huit erreurs. Si le captcha est incorrect, l'utilisateur revient aux 8 tentatives de mot de passe. Ce cycle sans fin autorise un hacker doté d'un script générateur de mot de passe à s'attaquer à un compte sans craindre de voir celui-ci bloqué automatiquement par précaution.
Jason Coutee a donc testé lui-même la méthode. Après avoir fait quelques parties de Halo Reach pour noter quelques gamertags de joueurs, il utilise google pour trouver l’adresse email associée au gamertag. Puis, lors de la tentative de connexion sur Xbox.com, le site s’avère d’une grande aide puisqu’en fonction du message d'erreur, l'utilisateur sait directement si l'adresse est effectivement associée à un gamertag ou non.
Jason Coutee a joint Microsoft pour faire part de sa théorie mais se serait vu gentiment snobé. A noter que le Jason en question avait aussi contacté le site Eurogamer pour partager sa découverte. Selon le site britannique, Microsoft a conscience du problème et prépare une réponse officielle.
Selon Analog Hype, la brèche en question proviendrait du site officiel Xbox.com. Un certain Jason Coutee dit avoir découvert lui-même la technique utilisée par les pirates pour s'emparer du compte de quelqu'un. Jason Coutee travaillant en tant que Network Infrastructure Manager, il a enquêté lui-même suite au vol de son compte Xbox LIVE.
Sa théorie est la suivante. Il se trouve que sur sa page de connexion, Xbox.com autorise l’envoi d’un mot de passe un nombre illimité de fois, et demande seulement un captcha après huit erreurs. Si le captcha est incorrect, l'utilisateur revient aux 8 tentatives de mot de passe. Ce cycle sans fin autorise un hacker doté d'un script générateur de mot de passe à s'attaquer à un compte sans craindre de voir celui-ci bloqué automatiquement par précaution.
Jason Coutee a donc testé lui-même la méthode. Après avoir fait quelques parties de Halo Reach pour noter quelques gamertags de joueurs, il utilise google pour trouver l’adresse email associée au gamertag. Puis, lors de la tentative de connexion sur Xbox.com, le site s’avère d’une grande aide puisqu’en fonction du message d'erreur, l'utilisateur sait directement si l'adresse est effectivement associée à un gamertag ou non.
Jason Coutee a joint Microsoft pour faire part de sa théorie mais se serait vu gentiment snobé. A noter que le Jason en question avait aussi contacté le site Eurogamer pour partager sa découverte. Selon le site britannique, Microsoft a conscience du problème et prépare une réponse officielle.
Source : http://www.jvn.com
Commentaires
Enregistrer un commentaire