Subrepticement corrigée deux semaines après sa découverte par Microsoft, une faille de sécurité habitait l’écosystème Hotmail. Elle se logeait dans une composante critique : l’outil de récupération de comptes de la messagerie électronique.
L’artifice, qui reposait sur une simple extension Firefox, permettait à quiconque de passer outre les quelques vérifications en vigueur pour accéder sans encombre à la page de réinitialisation du mot de passe associé à n’importe quelle adresse… et laisser aussi sec la victime sur le carreau.
Au dire de Benjamin Kunz Mejri, l’un des découvreurs du pot aux roses, cette vulnérabilité a pu compromettre la confidentialité de milliers d’utilisateurs.
Si l’ampleur du phénomène reste indéterminée, les premières conclusions font état de nombreux affronts au Moyen-Orient. Certains internautes ont tout bonnement perdu l’accès à leurs comptes sur les réseaux sociaux. La plaisanterie a même mené à des extorsions de fonds sur des services tel PayPal.
Une fois la nouvelle répandue, les tutoriels ont fleuri sur la Toile. Certains pirates improvisés en ont tiré parti et sont allés jusqu’à proposer leurs services à la demande, moyennant rétribution.
Pour se livrer à l’exercice, il leur a suffi d’installer un module complémentaire dans leur navigateur Firefox. En l’occurrence, le dénommé Tamper Data, modificateur de requêtes HTTP en temps réel.
Le subterfuge impliquait ainsi de se rendre sur le page de restauration du mot de passe, d’intercepter le trafic sortant et d’insérer des valeurs définies pour contourner le système de jetons d’identification qu’emploie Microsoft en guise de protection.
En temps normal, si ladite valeur est vide, la session est automatiquement interrompue. Insérer la chaîne de caractères « +++)- » permettait de leurrer cette routine.
Due au bouche-à-oreille plus qu’aux travaux d’ingénieurs chevronnés, la détection de la faille remonte au 6 avril. Microsoft n’en a pris acte que deux semaines plus tard, en date du 20 avril, et a immédiatement déployé un correctif, en avertissant les utilisateurs d’un simple message sur son compte Twitter.
Crédit image : © Paty Wingrove-Fotolia.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…