Les failles de sécurité n’épargnent pas Hotmail

Cloud

Tout juste corrigée, une faille de sécurité jugée critique hantait la messagerie Hotmail. Moyennant l’installation d’une extension dans le navigateur Firefox, l’artifice permettait à quiconque de réinitialiser le mot de passe de tout compte.

Subrepticement corrigée deux semaines après sa découverte par Microsoft, une faille de sécurité habitait l’écosystème Hotmail. Elle se logeait dans une composante critique : l’outil de récupération de comptes de la messagerie électronique.

L’artifice, qui reposait sur une simple extension Firefox, permettait à quiconque de passer outre les quelques vérifications en vigueur pour accéder sans encombre à la page de réinitialisation du mot de passe associé à n’importe quelle adresse… et laisser aussi sec la victime sur le carreau.

Au dire de Benjamin Kunz Mejri, l’un des découvreurs du pot aux roses, cette vulnérabilité a pu compromettre la confidentialité de milliers d’utilisateurs.

Si l’ampleur du phénomène reste indéterminée, les premières conclusions font état de nombreux affronts au Moyen-Orient. Certains internautes ont tout bonnement perdu l’accès à leurs comptes sur les réseaux sociaux. La plaisanterie a même mené à des extorsions de fonds sur des services tel PayPal.

Une fois la nouvelle répandue, les tutoriels ont fleuri sur la Toile. Certains pirates improvisés en ont tiré parti et sont allés jusqu’à proposer leurs services à la demande, moyennant rétribution.

Pour se livrer à l’exercice, il leur a suffi d’installer un module complémentaire dans leur navigateur Firefox. En l’occurrence, le dénommé Tamper Data, modificateur de requêtes HTTP en temps réel.

Le subterfuge impliquait ainsi de se rendre sur le page de restauration du mot de passe, d’intercepter le trafic sortant et d’insérer des valeurs définies pour contourner le système de jetons d’identification qu’emploie Microsoft en guise de protection.

En temps normal, si ladite valeur est vide, la session est automatiquement interrompue. Insérer la chaîne de caractères “+++)-” permettait de leurrer cette routine.

Due au bouche-à-oreille plus qu’aux travaux d’ingénieurs chevronnés, la détection de la faille remonte au 6 avril. Microsoft n’en a pris acte que deux semaines plus tard, en date du 20 avril, et a immédiatement déployé un correctif, en avertissant les utilisateurs d’un simple message sur son compte Twitter.

 

Crédit image : © Paty Wingrove-Fotolia.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur