Un bogue critique découvert dans le webmail de Microsoft permettait à un attaquant de modifier le mot de passe d’un compte, et donc d’y avoir accès tout en privant son propriétaire légitime de son propre accès.
Hotmail est le webmail le plus utilisé au monde (Microsoft affirme qu’il compte 350 millions d’utilisateurs). Au début du mois, un pirate informatique basé en Arabie Saoudite a découvert une vulnérabilité, liée à la façon dont Hotmail gère les données qui doivent être échangées lorsqu’un internaute veut modifier son mot de passe. Il a immédiatement averti Microsoft.
Des exploits en pagaille
Le souci, c’est que peu après, les détails du bogue se sont retrouvés en ligne (suite à des fuites), en conséquence de quoi les hackers ont commencé à chercher des façons de l’exploiter. Ils ont trouvé un moyen simple de le faire, grâce à des outils sous forme de add-on pour Firefox, qui leur ont permis de faire tampon entre les serveurs d’Hotmail et l’utilisateur, et donc de prendre le contrôle du compte concerné en modifiant son mot de passe.
La faille a alors commencé a être très activement exploitée, comme en témoignent de nombreux forums du Web. On peut y lire que certaines victimes se sont même fait voler de l’argent, puisqu’elles avaient lié leur compte Hotmail à des services comme Paypal. D’autres ont perdu leurs comptes Facebook, ou Twitter.
Cela a poussé Microsoft a réagir au plus vite, d’autant que des hackers proposaient de pirater des comptes Hotmail pour 20 dollars pièce. On ne sait pas combien de comptes ont été touchés dans le monde, mais les vidéos montrant le processus en application sont légion sur YouTube.
Microsoft à mis Hotmail à jour ce matin. La faille est désormais comblée. Si un attaquant tente de manipuler les échanges de données, les serveurs d’Hotmail lui renvoient un message d’erreur.
Sources : L’Informaticien, THN
Les commentaires sont fermés.