Le nom de domaine en question appartenait depuis 26 ans à l'Américain Mike O'Connor. Ce dernier avait acquis en 1994 plusieurs noms de domaine génériques, tels bar.com, pub.com et corp.com. Depuis la semaine dernière, ce dernier a été revendu à Microsoft, selon le journaliste spécialisé en sécurité Brian Krebs.

Le fait que ce soit précisément Microsoft qui ait acquis ce domaine, n'est pas un hasard. O'Connor l'espérait et ce, pour une raison très sensée: en dehors de leur réseau professionnel, beaucoup d'ordinateurs se connectent au domaine 'corp', normalement destiné à un usage interne. En raison de la façon dont Windows traite les noms de domaine, nombreux sont donc les ordinateurs qui, une fois qu'ils sont hors du réseau professionnel, établissent une connexion avec corp.com, où ils transfèrent aussi des données de login et d'autres infos sensibles.

Cela ne posait aucun problème jusqu'à présent, parce que le domaine n'était pas utilisé par O'Connor. Mais cela ne l'empêchait pas de craindre qu'un autre acheteur que Microsoft puisse en abuser à des fins criminelles.

Ancien paramètre par défaut

Krebs expliquait dans un message précédent posté sur son blog comment c'était possible. La cause réside dans d'anciennes versions de Windows, où Active Directory renvoyait par défaut au domaine 'corp'. Beaucoup d'entreprises n'ont pas effectué le changement dans le domaine de leur entreprise et ont étendu au fil des ans leur réseau professionnel. Et ce, à une époque, où la plupart des ordinateurs de bureau n'étaient branchés que sur le réseau de l'entreprise ou se connectaient à internet via ce dernier.

Aujourd'hui, la situation a bien changé. Quasiment chaque employé dispose d'un ordinateur portable, et plusieurs d'entre eux l'utilisent aussi à la maison ou en déplacement. Mais nombre d'ordinateurs professionnels établissent encore et toujours une connexion avec 'corp'.

Krebs déclare que les dommages possibles ne seraient pas minimes au cas où le domaine corp.com tomberait entre les mains de criminels. Et de se référer ici à l'étude effectuée par Jeff Schmidt, qui a examiné pendant huit mois en 2019 combien d'ordinateurs se connectaient au domaine. Il recensa plus de 375.000 PC Windows. Il observa aussi ce qui se passait, lorsque le domaine acceptait les connexions entrantes. En un quart d'heure seulement, tant de données sensibles y étaient transférées que l'expérience fut interrompue. Il s'agit en l'occurrence de données de connexion à des réseaux d'entreprise.

Mises à jour disponibles, mais pas exécutées

Microsoft même confirme le rachat dans une réaction aux propos de Brian Krebs. L'entreprise explique l'avoir fait pour protéger ses clients. Microsoft apporte cependant la nuance, selon laquelle elle a au fil des ans pris de nombreuses mesures et a sorti des mises à jour pour corriger le problème. Mais le hic, c'est que pas mal d'entreprises ne les exécutent pas. Les correctifs en question nécessitent en effet qu'Active Directory soit mis brièvement hors ligne. Microsoft soupçonne en outre que certaines applications d'entreprise ne fonctionneraient plus ou seraient plus lentes. Pour beaucoup de gestionnaires IT, le risque limité est par conséquent moindre que la difficulté à adapter en profondeur le réseau d'entreprise.

Le nom de domaine en question appartenait depuis 26 ans à l'Américain Mike O'Connor. Ce dernier avait acquis en 1994 plusieurs noms de domaine génériques, tels bar.com, pub.com et corp.com. Depuis la semaine dernière, ce dernier a été revendu à Microsoft, selon le journaliste spécialisé en sécurité Brian Krebs.Le fait que ce soit précisément Microsoft qui ait acquis ce domaine, n'est pas un hasard. O'Connor l'espérait et ce, pour une raison très sensée: en dehors de leur réseau professionnel, beaucoup d'ordinateurs se connectent au domaine 'corp', normalement destiné à un usage interne. En raison de la façon dont Windows traite les noms de domaine, nombreux sont donc les ordinateurs qui, une fois qu'ils sont hors du réseau professionnel, établissent une connexion avec corp.com, où ils transfèrent aussi des données de login et d'autres infos sensibles.Cela ne posait aucun problème jusqu'à présent, parce que le domaine n'était pas utilisé par O'Connor. Mais cela ne l'empêchait pas de craindre qu'un autre acheteur que Microsoft puisse en abuser à des fins criminelles.Ancien paramètre par défautKrebs expliquait dans un message précédent posté sur son blog comment c'était possible. La cause réside dans d'anciennes versions de Windows, où Active Directory renvoyait par défaut au domaine 'corp'. Beaucoup d'entreprises n'ont pas effectué le changement dans le domaine de leur entreprise et ont étendu au fil des ans leur réseau professionnel. Et ce, à une époque, où la plupart des ordinateurs de bureau n'étaient branchés que sur le réseau de l'entreprise ou se connectaient à internet via ce dernier.Aujourd'hui, la situation a bien changé. Quasiment chaque employé dispose d'un ordinateur portable, et plusieurs d'entre eux l'utilisent aussi à la maison ou en déplacement. Mais nombre d'ordinateurs professionnels établissent encore et toujours une connexion avec 'corp'.Krebs déclare que les dommages possibles ne seraient pas minimes au cas où le domaine corp.com tomberait entre les mains de criminels. Et de se référer ici à l'étude effectuée par Jeff Schmidt, qui a examiné pendant huit mois en 2019 combien d'ordinateurs se connectaient au domaine. Il recensa plus de 375.000 PC Windows. Il observa aussi ce qui se passait, lorsque le domaine acceptait les connexions entrantes. En un quart d'heure seulement, tant de données sensibles y étaient transférées que l'expérience fut interrompue. Il s'agit en l'occurrence de données de connexion à des réseaux d'entreprise.Mises à jour disponibles, mais pas exécutéesMicrosoft même confirme le rachat dans une réaction aux propos de Brian Krebs. L'entreprise explique l'avoir fait pour protéger ses clients. Microsoft apporte cependant la nuance, selon laquelle elle a au fil des ans pris de nombreuses mesures et a sorti des mises à jour pour corriger le problème. Mais le hic, c'est que pas mal d'entreprises ne les exécutent pas. Les correctifs en question nécessitent en effet qu'Active Directory soit mis brièvement hors ligne. Microsoft soupçonne en outre que certaines applications d'entreprise ne fonctionneraient plus ou seraient plus lentes. Pour beaucoup de gestionnaires IT, le risque limité est par conséquent moindre que la difficulté à adapter en profondeur le réseau d'entreprise.