La faille de sécurité... cela arrive. Mais en pleine promotion de Skype depuis l'annonce de sa prise de succession de Windows Live Messenger en février prochain, il est sûr que cela fait mauvais genre.

Le vulnérabilité en question est critique. Elle permet de détourner facilement des comptes Skype à partir du moment où l'attaquant connaît les adresses emails des utilisateurs.

Pour l'attaquant, l'exploitation est possible en créant un nouveau compte Skype et en y associant l'email d'une victime.

" Une fois cette procédure terminée, une faille dans la procédure de réinitialisation de mot de passe permet à l'attaquant de prendre le contrôle du compte de la victime via le formulaire en ligne de réinitialisation ", explique Rik Ferguson.

Skype-6.0 L'expert en sécurité de Trend Micro a pu tester l'exploitation de la faille avec succès. Elle peut être mise en échec si la victime a le temps nécessaire pour réagir en lisant l'email qui la prévient d'une réinitialisation de mot de passe.

La bonne nouvelle est que l'exploitation de la faille est actuellement bloquée dans la mesure où la réinitialisation de mot de passe a été désactivée le temps d'investigations à propos de ce problème.

La mauvaise nouvelle est qu'une preuve de concept pour l'exploitation de la faille avait déjà été publiée il y a près de trois mois sur un forum russe.