La faille était basée sur la démarche de Skype de lier ensemble tous les comptes associés à une même adresse email. Il suffisait donc de connaître l'adresse email liée au compte d'une victime potentielle et de se s'inscrire avec - en théorie, se réinscrire - pour accéder au compte déjà existant et en réinitialiser le mot de passe après quelques étapes préalables. Testée plusieurs fois par The Next Web, la technique était quasiment infaillible, à moins que l'utilisateur ne réagisse très vite en lisant ses mails avant la validation du nouveau mot de passe.
Contacté par le média, Skype a très rapidement désactivé la fonction de changement du mot de passe sur son site, pour bloquer la faille. Pour l'heure, impossible de faire de réinitialisation : Microsoft a indiqué à The Next Web être en train d'enquêter sur la faille pour mieux la colmater définitivement. En toute logique, une refonte du processus d'inscription devrait être mise en place.
En attendant, il est tout de même conseillé de modifier l'adresse email associée à son compte Skype, en la remplaçant par une autre que personne n'est susceptible de connaître et d'éventuellement utiliser pour « visiter » le compte de manière peu courtoise.
Mise à jour : Skype nous a contacté pour nous informer que la faille de sécurité a été comblée. Dans un billet publié sur son blog, le service explique avoir « mis à jour la procédure de réinitialisation de mot de passe », qui fonctionne désormais correctement pour ne pas mettre les utilisateurs dans une position inconfortable. « Nous tendons la main au petit nombre d'utilisateurs qui peuvent avoir été touchés par la faille, pour les aider si nécessaire » précise Skype.
Publication initiale : 14 novembre 2012 à 12h29.
