Windows 10 : on peut voler votre mot de passe Microsoft… avec un fond d'écran vérolé

En référençant une ressource externe dans un fichier d’arrière-plan, on peut amener le système à envoyer automatiquement l’empreinte du mot de passe système. Mais l’éditeur n’y voit aucun problème.



Le chercheur en sécurité Jimmy Bayne a découvert une nouvelle technique pour voler le mot de passe Microsoft d’un utilisateur Windows. Il a créé un arrière-plan malveillant qui, lorsqu’on double-clique dessus, va initier une connexion réseau vers un serveur distant auquel le système tentera de se connecter, et donc livrer les précieux identifiants. Pourquoi ? Un arrière-plan n’est rien d’autre qu’un fichier (avec l’extension .theme) dans lequel sont référencés des paramétrages et des ressources, telle que l’image à utiliser.

Or, il s’avère que l’on peut référencer des ressources externes qui se trouvent dans des répertoires protégés. Dans ce cas, le système Windows va lancer un processus d’authentification plus ou moins automatisé. Dans l’exemple fourni par Jimmy Bayne, il s’agit d’une ressource web accessible par HTTPS. Celle-ci provoque l’ouverture d’une fenêtre de connexion, ce qui est assez visible et, finalement, peu dangereux.


Mais d’après l’expert, si on référence une ressource de type WebDAV ou SMB, Windows va lancer une authentification automatique par le protocole NTLM (NT Lan Manager). Dans ce cas, le système envoie au serveur distant le login et une empreinte du mot de passe de l’utilisateur. Si celui-ci est faible, le pirate pourra assez vite retrouver le code secret en clair, en utilisant une attaque par dictionnaire.