Ce n’étaient que deux détails en apparence anodin : d’une part n’importe qui pouvait ouvrir plusieurs comptes Skype avec la même adresse email, et d’autres part la procédure de changement de mots de passe  était commune à tous les comptes ouverts avec une même adresse.

Mais combinées ces deux informations permettaient d’accéder à n’importe quel compte Skype, à condition de connaître l’adresse email utilisée lors de l’ouverture. Et depuis au moins deux mois, des pirates se partagaient cette information.

Concrètement, selon les indications détaillées par The NextWeb, il suffisait d’ouvrir un nouveau compte en fournissant l’adresse email de sa victime (et la sienne, bien entendu) puis de demander à changer son mot de passe, pour être en mesure de récupérer le nom d’utilisateur de la victime et de changer à sa guise le mot de passe de tous ses comptes, y compris ceux de sa victime. 

Microsoft affirme avoir désormais modifié son système de mise à jour des mots de passe afin que l’attaque ne soit plus exploitable.