0
La société Airscanner, qui édite des logiciels de Firewall et d'Antivirus pour Pocket PC et Smartphone, annonce avoir découvert une faille de sécurité liée au logiciel Microsoft ActiveSync et plus précisément liée à la couche de synchronisation LAN du logiciel.
Cette faille de sécurité a été découverte sur les systèmes d'exploitation Windows XP Professional SP2 et Windows Mobile Pocket PC 2003 et s'applique aux versions 3.7.1 et 3.8 du logiciel Microsoft ActiveSync.
Concrètement, cette faille de sécurité, plutôt mineure, est détectée lors d'une "fausse" synchronisation LAN via ActiveSync, permettant de demander un mot de passe à l'utilisateur pour établir cette connexion mais permettant surtout de le récupérer ensuite en clair.
Selon AirScanner, si il suffit de désactiver la fonction de synchronisation LAN ou de sécuriser, via un Firewall, le port 5679 pour supprimer une telle faille de sécurité, il se peut cependant que les utilisateurs victimes de la récupération de leur mot de passe soient confrontés également à d'autres problèmes plus grâves comme une utilisation éventuelle de ce même mot de passe pour d'autres services (serveurs distants, mails, ...). Il arrive souvent en effet qu'un utilisateur puisse utiliser un même mot de passe pour l'intégralité des services en demandant un.
Toujours est-il que si ce problème de sécurité est certes averé, il n'en reste pas moins que ce sont aujourd'hui plutôt les appareils de poche de type Smartphone, Pocket PC, PDA ou PDAPhone qui sont soumis à de nombreux problèmes de sécurité, l'intégralité des données contenues dans ces appareils restant dans la très grande majorité des cas lisibles sans aucune demande de mot de passe. Ainsi, ce sont par exemple les contacts, les rendez-vous, les emails reçus mais également envoyés ou encore les données confidentielles contenues dans les fichiers de ces appareils qui ne sont actuellement pas du tout sécurisés !
Cette faille de sécurité a été découverte sur les systèmes d'exploitation Windows XP Professional SP2 et Windows Mobile Pocket PC 2003 et s'applique aux versions 3.7.1 et 3.8 du logiciel Microsoft ActiveSync.
Concrètement, cette faille de sécurité, plutôt mineure, est détectée lors d'une "fausse" synchronisation LAN via ActiveSync, permettant de demander un mot de passe à l'utilisateur pour établir cette connexion mais permettant surtout de le récupérer ensuite en clair.
Selon AirScanner, si il suffit de désactiver la fonction de synchronisation LAN ou de sécuriser, via un Firewall, le port 5679 pour supprimer une telle faille de sécurité, il se peut cependant que les utilisateurs victimes de la récupération de leur mot de passe soient confrontés également à d'autres problèmes plus grâves comme une utilisation éventuelle de ce même mot de passe pour d'autres services (serveurs distants, mails, ...). Il arrive souvent en effet qu'un utilisateur puisse utiliser un même mot de passe pour l'intégralité des services en demandant un.
Toujours est-il que si ce problème de sécurité est certes averé, il n'en reste pas moins que ce sont aujourd'hui plutôt les appareils de poche de type Smartphone, Pocket PC, PDA ou PDAPhone qui sont soumis à de nombreux problèmes de sécurité, l'intégralité des données contenues dans ces appareils restant dans la très grande majorité des cas lisibles sans aucune demande de mot de passe. Ainsi, ce sont par exemple les contacts, les rendez-vous, les emails reçus mais également envoyés ou encore les données confidentielles contenues dans les fichiers de ces appareils qui ne sont actuellement pas du tout sécurisés !
