Actualité Android
windows live messenger

Windows Messenger : l'application officielle ne crypte pas le mot de passe

par

Une faille de sécurité a été découverte dans l'application de Windows Live Messenger.

Au cours de l'année dernière, Windows Live Messenger pouvait se targuer d'avoir enfin une application officielle sur Android. Anciennement MSN Messenger, ce service de discussion en ligne a perdu un peu de son succès d'antan au profit de Skype, mais reste toujours dans les utilitaires les plus utilisés.

C'est sur la page Google Plus d'Android-Belgium consacrée à l'information Android que l'annonce est tombée ce week-end : l'application n'est pas sécurisée. En effet, lors du développement d'un soft à destination du Play Store, la personne en charge de la page a indiqué être tombée sur ses informations Messenger en clair sous la forme ci-dessous.

05-26 11:48:34.640: D/Proxy(11394): CoreServiceOpenCommand sent = [9 | -1 | 11 | MSP3 | 1 | 0 | MonEmail@gmail.com | MonMotDePasse | STATUS_CLASS | 256 | TOKEN_REQUESTED | 1 | CONTACT_LIST_HASH | 4059334524 |]

windows-messenger-logoCela montre que ces informations, pourtant à la source de données plus personnelles car liées au compte Microsoft (e-mails, fichiers SkyDrive, compte Xbox LIVE...), sont enregistrées sans cryptage par l'application, permettant à n'importe quel software malveillaint de les récupérer sans difficulté. Afin d'en apporter la preuve, Waza_Be, à l'origine de l'article, propose une application permettant d'afficher son adresse et son password Messenger. Un malware n'aurait bien sûr aucun mal à envoyer ces informations à son créateur, aussi, il est conseillé de désinstaller l'application "Messenger by Miyowa", de changer de mot de passe et d'utiliser une alternative jusqu'à ce qu'une mise à jour apporte la sécurité nécessaire.

Commenter 3 commentaires

Avatar de l’utilisateur
Bérenger L.
software malveillaint
:roll:
J'utilise IM+Pro, il est peu probable que cette appli renferme des problèmes de sécurité à ce niveau là... cette info est quand même surprenante, moi qui pensais que le code des applications imposait un minimum de sécurité par cryptage des identifiants, si ce n'est pas trop demander...
Signaler Citer