Dans la catégorie « une petite lettre ça change tout », voici un magnifique impair de la part du géant Microsoft : selon le chercheur en sécurité Stefan Kanthak qui a contacté le journaliste allemand Günther Born, Microsoft diffuserait ses patchs de sécurité ainsi que les informations qui leur sont relatives via des liens HTTP et non HTTPS. La différence ? Le « S » à la fin du HTTP qui signifie « sécurisé ». Oui, la documentation et les patchs seraient diffusés en clair sur le web sans aucune protection quant à l’interception potentielle des données.

Captures d’écran à l’appui, Günther Born ainsi que le site spécialisé Computerworld qui a tenu à vérifier les opérations, prouvent que tous les éléments de la chaîne – l’accès au catalogue, les fiches produit et le téléchargement même des patchs – peuvent transiter sans le moindre chiffrement, protection élémentaire du web… un comble, a fortiori quand il s’agit de sécurité.

Microsoft au courant… depuis très longtemps

Outre la négligence imputable à Microsoft et le fait qu’on puisse voir en clair ce que vous faites voire compromettre la signature numérique des mises à jour, ce qui est gênant c’est que Microsoft est au courant. En effet, Stefan Kanthak aurait alerté à plusieurs reprises l’éditeur logiciel au cours des dernières années. Oui, on parle bien ici en « années » et pas en jours. Se pose ici la question du sérieux des équipes de Microsoft quant à la sécurité de leur service.

Si la bascule d’un service en HTTPS n’est pas quelque chose d’anodin, pour la distribution d’éléments de sécurité, c’est tout simplement une nécessité. Et il semble que Microsoft ait fait l’impasse.

Cet article a été importé d’un feed RSS, cliquez-ici pour voir l’article original