Pour gérer vos consentements :
Categories: Cloud

Les failles de sécurité n’épargnent pas Hotmail

Subrepticement corrigée deux semaines après sa découverte par Microsoft, une faille de sécurité habitait l’écosystème Hotmail. Elle se logeait dans une composante critique : l’outil de récupération de comptes de la messagerie électronique.

L’artifice, qui reposait sur une simple extension Firefox, permettait à quiconque de passer outre les quelques vérifications en vigueur pour accéder sans encombre à la page de réinitialisation du mot de passe associé à n’importe quelle adresse… et laisser aussi sec la victime sur le carreau.

Au dire de Benjamin Kunz Mejri, l’un des découvreurs du pot aux roses, cette vulnérabilité a pu compromettre la confidentialité de milliers d’utilisateurs.

Si l’ampleur du phénomène reste indéterminée, les premières conclusions font état de nombreux affronts au Moyen-Orient. Certains internautes ont tout bonnement perdu l’accès à leurs comptes sur les réseaux sociaux. La plaisanterie a même mené à des extorsions de fonds sur des services tel PayPal.

Une fois la nouvelle répandue, les tutoriels ont fleuri sur la Toile. Certains pirates improvisés en ont tiré parti et sont allés jusqu’à proposer leurs services à la demande, moyennant rétribution.

Pour se livrer à l’exercice, il leur a suffi d’installer un module complémentaire dans leur navigateur Firefox. En l’occurrence, le dénommé Tamper Data, modificateur de requêtes HTTP en temps réel.

Le subterfuge impliquait ainsi de se rendre sur le page de restauration du mot de passe, d’intercepter le trafic sortant et d’insérer des valeurs définies pour contourner le système de jetons d’identification qu’emploie Microsoft en guise de protection.

En temps normal, si ladite valeur est vide, la session est automatiquement interrompue. Insérer la chaîne de caractères « +++)- » permettait de leurrer cette routine.

Due au bouche-à-oreille plus qu’aux travaux d’ingénieurs chevronnés, la détection de la faille remonte au 6 avril. Microsoft n’en a pris acte que deux semaines plus tard, en date du 20 avril, et a immédiatement déployé un correctif, en avertissant les utilisateurs d’un simple message sur son compte Twitter.

Crédit image : © Paty Wingrove-Fotolia.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago