Sahad Nk est un professionnel des cyberattaques, il exerce le métier peu commun de chasseur de bugs. Basé en Inde, il a récemment découvert qu’un sous-domaine de Microsoft dénommé « success.office.com » n’avait pas été correctement configuré. Il a décidé de prendre le contrôle de ce sous-domaine et donc d’avoir accès à toutes les données de Microsoft Office. Heureusement que cette faille a été repérée par un chasseur de bugs et non par un hacker. Il a souhaité en faire part à TechCrunch avant la publication officielle de son rapport à l’entreprise. Le meilleur conseil que l’on peut donner à Microsoft serait de ne pas tenter de combattre les hackers, mais plutôt de les embaucher.
Si Nk avait été un hacker, voici comment il aurait pu procéder pour pirater les données de millions d’utilisateurs : il aurait pu générer un lien spécialement conçu pour les tromper. Ils auraient ensuite été redirigé vers le portail de connexion à Microsoft qui aurait réclamé le nom d’utilisateur et le mot de passe de chaque personne. L’obtention d’un accès à un compte équivaut à avoir les informations d’identification d’un utilisateur, et aurait pu permettre à un attaquant d’accéder au compte de cet utilisateur de manière transparente, probablement sans déclencher d’alarme ou d’avertissement chez le service sécurité de Microsoft.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Vous comprenez donc que si cette attaque avait été perpétuée par une personne malveillante, elle aurait pu mettre d’innombrables comptes en danger. Pire encore, l’utilisateur n’aurait certainement rien vu venir car l’URL malveillante semble légitime. L’utilisateur se connecte toujours via les systèmes Microsoft, et le paramètre « wreply » de l’URL ne semble pas suspect parce que c’est un sous-domaine Office.
Nk, avec l’aide de Paulos Yibelo, a signalé le bug à Microsoft. La société s’est empressée de corriger la vulnérabilité de son système. Un porte-parole de Microsoft a déclaré que « le Microsoft Security Response Center a atténué le cas dès novembre dernier, lorsque nous avons eu connaissance de la faille ». Sahad Nk a perçu une jolie prime en récompense de ses efforts.