Hotmail : nouvelles protections en approche, dont la session SSL
Spammers : back off !
Lorsque Microsoft a indiqué pour la première fois, plus tôt dans l'année, que de gros travaux seraient entrepris sur Hotmail, il n’a pas caché la priorité qu’il souhaitait donner à la sécurité. Il s’agit d’une catégorie bien à part dans les améliorations qui étaient prévues : quel que soit le nombre de nouveautés mises en place, l’ensemble s’écroulerait comme château de cartes si le compte de l’utilisateur venait à tomber dans de mauvaises mains. L’éditeur revient donc sur le sujet, pour parler des nouvelles mesures qui vont bientôt s’ajouter à celles qui existent déjà.
Les nouveaux comptes Live, dont la migration complète en France est en cours et s’achèvera au plus tard le 8 octobre, intègrent tout un ensemble de fonctionnalités dédiées à la sécurité. Parmi ces dernières, l’une des plus importantes est la possibilité de déclarer un numéro de téléphone qui sera lié au compte. Si l’utilisateur se connecte à son compte depuis un ordinateur qui risque de ne pas être sûr, il pourra réclamer qu’un code unique lui soit envoyé grâce à son identifiant. Le code est envoyé sous forme de SMS et ne sert que pour une seule connexion. Quand l’utilisateur ferme sa session, le code est devenu inutilisable pour une nouvelle connexion et/ou par quelqu’un d’autre.
Le vol de compte est à présent l’ennemi n°1 de Microsoft sur le plan de la sécurité. La défense contre le phénomène se base sur des protections plus solides pour les comptes, mais également des attaques. Ainsi, l’éditeur a « purgé » tout un ensemble de comptes compromis, tout en déposant des plaintes pour se débarrasser d’un groupe de domaines utilisés par des pirates pour constituer le botnet Waledac.
Depuis hier, des ajouts ont été mis en place dans les comptes Hotmail mais, comme d’habitude, il faudra attendre que la mise à jour ait touché tous les utilisateurs. Voici les changements et apports :
Quoi qu’il en soit, Microsoft semble bien décider à ne plus donner aussi facilement des armes aux spammeurs, et cela ne peut être qu’une bonne chose. On appréciera particulièrement les mesures visant à prouver que l’on est le vrai utilisateur du compte, ou encore les communications intégralement en SSL. Cela dit, la firme ne devrait pas oublier que ces processus doivent être le plus transparents possibles pour l’utilisateur, qui lui voit essentiellement l’interface et les fonctionnalités. Peut-être serait-il temps d’investir les mêmes efforts dans les bandeaux de fonctions qui ont perdu leurs icônes et leur substance à cause d’une volonté sans doute trop forte de simplification austère.
Les nouveaux comptes Live, dont la migration complète en France est en cours et s’achèvera au plus tard le 8 octobre, intègrent tout un ensemble de fonctionnalités dédiées à la sécurité. Parmi ces dernières, l’une des plus importantes est la possibilité de déclarer un numéro de téléphone qui sera lié au compte. Si l’utilisateur se connecte à son compte depuis un ordinateur qui risque de ne pas être sûr, il pourra réclamer qu’un code unique lui soit envoyé grâce à son identifiant. Le code est envoyé sous forme de SMS et ne sert que pour une seule connexion. Quand l’utilisateur ferme sa session, le code est devenu inutilisable pour une nouvelle connexion et/ou par quelqu’un d’autre.
Le vol de compte est à présent l’ennemi n°1 de Microsoft sur le plan de la sécurité. La défense contre le phénomène se base sur des protections plus solides pour les comptes, mais également des attaques. Ainsi, l’éditeur a « purgé » tout un ensemble de comptes compromis, tout en déposant des plaintes pour se débarrasser d’un groupe de domaines utilisés par des pirates pour constituer le botnet Waledac.
Depuis hier, des ajouts ont été mis en place dans les comptes Hotmail mais, comme d’habitude, il faudra attendre que la mise à jour ait touché tous les utilisateurs. Voici les changements et apports :
- Les serveurs sont équipés d’une détection qui doit faire le distinguo entre un compte normal et un autre dont la sécurité a été compromise. Dans le second cas, Microsoft tente de contacter l’utilisateur pour que la sécurité du compte soit restaurée. La détection du compte se fait sur la base d’une nouvelle méthode heuristique. L’action elle-même passe par le blocage par exemple des réponses automatiques de messages d’absence qui contiennent des liens malveillants.
- Différentes possibilités visant à déclarer un ordinateur comme « sûr »
- La liste des preuves n’est plus modifiable avec le seul mot de passe du compte. Il faut passer par les conditions ou informations que l’on a soi-même indiquées. Exemple : si vous avez mis en place une adresse alternative de contact, l’ajout du numéro de téléphone vous demandera d’abord d’indiquer cette adresse. Ceci pour éviter que le simple vol du mot de passe soit suffisant.
- Le blocage des éventuelles backdoors que les pirates laissent derrière eux. Le compte est alors intégralement bloqué.
- La connexion et toute la session passent désormais par SSL.
- Le nombre de tentatives d’essais pour le mot de passe dépend maintenant de plusieurs facteurs, notamment le degré de réputation de l’adresse IP utilisée.
Quoi qu’il en soit, Microsoft semble bien décider à ne plus donner aussi facilement des armes aux spammeurs, et cela ne peut être qu’une bonne chose. On appréciera particulièrement les mesures visant à prouver que l’on est le vrai utilisateur du compte, ou encore les communications intégralement en SSL. Cela dit, la firme ne devrait pas oublier que ces processus doivent être le plus transparents possibles pour l’utilisateur, qui lui voit essentiellement l’interface et les fonctionnalités. Peut-être serait-il temps d’investir les mêmes efforts dans les bandeaux de fonctions qui ont perdu leurs icônes et leur substance à cause d’une volonté sans doute trop forte de simplification austère.
Source :
Microsoft
Vincent Hermann
le 28 septembre 2010 à 16:26
(12 480
lectures)
Actualités et brèves relatives
- 28 / 09 / 2010 : Microsoft migre ses blogs Windows Live Spaces vers Wordpress
- 24 / 09 / 2010 : Hotmail : les prochaines améliorations prévues
- 31 / 08 / 2010 : Hotmail : le push pour les emails/contacts/agenda est actif
- 27 / 08 / 2010 : Hotmail : la connectivité Exchange prévue pour le 30 août
- 04 / 08 / 2010 : Nouveau Hotmail : la migration des comptes est terminée
- 07 / 07 / 2010 : Windows Live Smartscreen bloque les liens vers des sites à risque
- 30 / 06 / 2010 : La nouvelle version d'Hotmail chez 1% des utilisateurs seulement
- 18 / 05 / 2010 : Toutes les nouvelles fonctionnalités du futur Hotmail
