Hotmail, AOL et Yahoo de nouveau touchés par un 0-Day !

0
40

Après une importante vulnérabilité de type 0-Day dans Hotmail qui a permis aux pirates de réinitialiser les mots de passe des comptes et de déconnecter les propriétaires légitimes, voici que les pirates ont non seulement trouvé une nouvelle faille sur Hotmail mais aussi sur AOL et Yahoo !

Des pirates ont réussi à manipuler les requêtes HTTP sortantes de ces services vers les navigateurs afin de modifier en temps réel les données et de les exploiter. La conclusion est édifiante : ils sont capables de réinitialiser le mot de passe de n’importe quel compte de messagerie, ce qui laisse champ libre aux possibilités…

Le porte-parole de Microsoft a confirmé l’existence de la faille de sécurité ainsi que le correctif, mais n’a donné aucun détail pour le moment : « Le vendredi, nous avons abordé un incident avec la fonctionnalité de réinitialisation de mot de passe, il n’y a pas eu d’action pour les clients, car ils sont protégés. »

Deux jours après, un autre pirate inconnu a rapporté un autre vulnérabilité similaire dans Hotmail, Yahoo et AOL. L’utilisation des données envoyées par les sites permet à un attaquant d’être en mesure de réinitialiser les mots de passe de n’importe quel compte à distance. C’est une vulnérabilité critique jamais exposée, des millions d’utilisateurs peuvent être touchés.