Windows Messenger : l'application officielle ne crypte pas le mot de passe

Au cours de l'année dernière, Windows Live Messenger pouvait se targuer d'avoir enfin une application officielle sur Android. Anciennement MSN Messenger, ce service de discussion en ligne a perdu un peu de son succès d'antan au profit de Skype, mais reste toujours dans les utilitaires les plus utilisés.

C'est sur la page Google Plus d'Android-Belgium consacrée à l'information Android que l'annonce est tombée ce week-end : l'application n'est pas sécurisée. En effet, lors du développement d'un soft à destination du Play Store, la personne en charge de la page a indiqué être tombée sur ses informations Messenger en clair sous la forme ci-dessous.

05-26 11:48:34.640: D/Proxy(11394): CoreServiceOpenCommand sent = [9 | -1 | 11 | MSP3 | 1 | 0 | MonEmail@gmail.com | MonMotDePasse | STATUS_CLASS | 256 | TOKEN_REQUESTED | 1 | CONTACT_LIST_HASH | 4059334524 |]

Cela montre que ces informations, pourtant à la source de données plus personnelles car liées au compte Microsoft (e-mails, fichiers SkyDrive, compte Xbox LIVE...), sont enregistrées sans cryptage par l'application, permettant à n'importe quel software malveillaint de les récupérer sans difficulté. Afin d'en apporter la preuve, Waza_Be, à l'origine de l'article, propose une application permettant d'afficher son adresse et son password Messenger. Un malware n'aurait bien sûr aucun mal à envoyer ces informations à son créateur, aussi, il est conseillé de désinstaller l'application "Messenger by Miyowa", de changer de mot de passe et d'utiliser une alternative jusqu'à ce qu'une mise à jour apporte la sécurité nécessaire.