Win 10 Spring Creators update : Une vulnérabilité dans le mécanisme des questions de sécurité ?

Publié le 9 avril 2018

Spring Creators, la prochaine version majeure de Windows 10 sera bientôt publiée avec son lot d’améliorations et de nouvelles fonctionnalités. Le système devrait s’installer plus rapidement et vous y découvrirez également un antivirus natif plus robuste. Régulièrement, Microsoft publie des versions de test du système avec des corrections et des nouveautés. A chaque préversion, les développeurs et les bêta testeurs inspectent scrupuleusement le système d’exploitation à la recherche justement d’améliorations mais également d’éventuelles vulnérabilités.

Microsoft proposera dans la prochaine Spring Creators Update un outil permettant de restaurer son mot de passe sur un compte local. A l’heure actuelle, une fonctionnalité similaire est uniquement proposée pour les comptes Microsoft.

Mais prochainement, les utilisateurs ne disposant pas de compte Microsoft pourront tenter de récupérer leur mot de passe grâce à un système de questions de sécurité. Parmi ces différentes questions, on trouve les classiques :

• Quel est le nom de votre animal de compagnie
• Quelle est votre ville de naissance ?
• Quel est le nom de la ville dans laquelle se sont rencontrés vos parents ?

Rien de bien révolutionnaire en soi, mais cela peut s’avérer utile, notamment pour les utilisateurs les plus tête en l’air.

Le hic, c’est que deux développeurs, Benjamin Delpy et Michael Schierl ont révélé que ces questions de sécurité était stockées en clair (sans chiffrement) dans un fichier JSON chiffré, mais déchiffrable à l’aide d’un outil mis au point par Benjamin Delpy. Les réponses à ces questions de sécurité seraient également stockées en clair dans ce fichier.

To clarify, not only the questions, but also the answers are stored in cleartext. Storing only the questions in cleartext and a hash of the answers would have been the preferred solution. — Michael Schierl (@mihi42) 8 avril 2018

Microsoft n’a pour l’heure pas communiqué sur cette vulnérabilité présente dans le build 17623 de Windows 10, mais il serait surprenant que la firme de Redmond dévoile la version finale de Spring Creators Update sans la corriger.