Subrepticement corrigée deux semaines après sa découverte par Microsoft, une faille de sécurité habitait l’écosystème Hotmail. Elle se logeait dans une composante critique : l’outil de récupération de comptes de la messagerie électronique.
L’artifice, qui reposait sur une simple extension Firefox, permettait à quiconque de passer outre les quelques vérifications en vigueur pour accéder sans encombre à la page de réinitialisation du mot de passe associé à n’importe quelle adresse… et laisser aussi sec la victime sur le carreau.
Au dire de Benjamin Kunz Mejri, l’un des découvreurs du pot aux roses, cette vulnérabilité a pu compromettre la confidentialité de milliers d’utilisateurs.
Si l’ampleur du phénomène reste indéterminée, les premières conclusions font état de nombreux affronts au Moyen-Orient. Certains internautes ont tout bonnement perdu l’accès à leurs comptes sur les réseaux sociaux. La plaisanterie a même mené à des extorsions de fonds sur des services tel PayPal.
Une fois la nouvelle répandue, les tutoriels ont fleuri sur la Toile. Certains pirates improvisés en ont tiré parti et sont allés jusqu’à proposer leurs services à la demande, moyennant rétribution.
Pour se livrer à l’exercice, il leur a suffi d’installer un module complémentaire dans leur navigateur Firefox. En l’occurrence, le dénommé Tamper Data, modificateur de requêtes HTTP en temps réel.
Le subterfuge impliquait ainsi de se rendre sur le page de restauration du mot de passe, d’intercepter le trafic sortant et d’insérer des valeurs définies pour contourner le système de jetons d’identification qu’emploie Microsoft en guise de protection.
En temps normal, si ladite valeur est vide, la session est automatiquement interrompue. Insérer la chaîne de caractères « +++)- » permettait de leurrer cette routine.
Due au bouche-à-oreille plus qu’aux travaux d’ingénieurs chevronnés, la détection de la faille remonte au 6 avril. Microsoft n’en a pris acte que deux semaines plus tard, en date du 20 avril, et a immédiatement déployé un correctif, en avertissant les utilisateurs d’un simple message sur son compte Twitter.
Crédit image : © Paty Wingrove-Fotolia.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…