Quelques jours après l'annonce du piratage du site MSN Corée, on apprend qu'une des pages de MSN.com (ilovemessenger.msn.com) a souffert d'une faille de cross site scripting (CSS). C'est un jeune hollandais de 20 ans, Alex de Vries qui a découvert la brèche.

Les failles de CSS sont très fréquentes sur les sites web. Profitant d'erreurs de filtrage, elles permettent en pratique à l'aide d'une simple URL spécialement formée avec des bouts de balises, d'injecter du code, voire de voler le cookie d'un usager par exemple. C'est justement ce qui a été découvert ici par Alex. Résultat ? il est possible théoriquement de dérober celui d'un abonné Hotmail et d'obtenir alors l'accès à sa boite, en toute discrétion.

Par ce cookie, le pirate peut en effet montrer patte blanche et faire ainsi croire à Microsoft que l'on est le véritable détenteur de la boite. L'attaque n'exige pas que les serveurs de Microsoft soient altérés ou modifiés mais simplement que l'usager se laisse tromper. Le traquenard a lieu généralement dans un mail envoyé, à l'instar d'un phishing. En cliquant sur le lien piégé, l'abonné transmet en douceur son cookie d'identification au malicieux pirate distant.

L'attaque a été décrite sur une page spéciale mais fort heureusement, Microsoft a été alerté et la firme a pu rapidement colmater la brèche.