S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

Une faille 0-Day permettait de pirater les mots de passe de Live Hotmail

123123

Microsoft a annoncé sur son fil Twitter avoir corrigé un bug sur Live Hotmail sans fournir beaucoup de détails. De fait, une petite recherche a levé le doute : à l’aide d’une extension Firefox, n’importe qui pouvait redéfinir le mot de passe de n’importe quel compte Live. Un exploit expliqué de long en large sur YouTube par plusieurs vidéos « didactiques ».

temper data live hotmail faille

« La vulnérabilité autorise un attaquant à réinitialiser le mot de passe Hotmail avec les valeurs de son choix. Des attaquants distants peuvent en effet éviter le processus de récupération pour redéfinir un nouveau mot de passe » explique Benjamin Kunz Mejri (Rem0ve), de Vulnerability Laboratory, qui se partage cette découverte avec un hacker saoudien de dev-point.com.

Dans le détail, la faille – considérée comme critique par ses découvreurs - se concentrait dans le système de jeton d'identification unique. La protection par token se contentait de vérifier si une variable est vide pour fermer, ou non, la session web. En modifiant cette variable, un attaquant pouvait donc bypasser tout le dispositif.

Comment ? Il suffisait d’utiliser Tamper Data, une extension Firefox qui analyse les requêtes HTTP et permet de les modifier à la volée. Comme l’explique Whitec0de, l’attaquant n’avait qu’à se rendre sur la page d’enregistrement Hotmail, cliquer sur « j’ai oublié mon mot de passe » puis sélectionner « M'envoyer un lien de redéfinition ». Restait à lancer Tamper Data pour modifier les variables adéquates. Une astuce qui faisait alors croire à Microsoft que vous aviez parfaitement rempli les étapes de vérification. En pleine confiance, l’éditeur basculait automatiquement le pirate sur la page de redéfinition du mot de passe où il n'avait plus qu’à choisir celui de son choix. Avec les conséquences désastreuses qu’on imagine : atteinte à la vie privée et aux données personnelles, vol de compte Paypal, escroquerie, etc.

Sur son fil twitter, Microsoft a indiqué que la faille en question était désormais colmatée, sans fournir plus d'informations, notamment sur le nombre potentiel de victimes.
Marc Rees

Journaliste, rédacteur en chef

Publiée le 27/04/2012 à 09:29

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 41 commentaires

Avatar de Kiran INpactien
Kiran Le vendredi 27 avril 2012 à 09:32:23
Inscrit le samedi 2 février 08 - 823 commentaires
123123


Merci de ne pas divulguer de la sorte mon mot de passe favori
Avatar de yvan INpactien
yvan Le vendredi 27 avril 2012 à 09:35:16
Inscrit le mardi 21 janvier 03 - 8124 commentaires
la faille – considérée comme critique par ses découvreurs


pas que eux, n'importe quoi microsoft là dessus
Avatar de zaknaster INpactien
zaknaster Le vendredi 27 avril 2012 à 09:37:48
Inscrit le lundi 26 avril 10 - 2831 commentaires
La faille est énorme la quand même, ça fait froid dans le dos :o
Heureusement j'ai pas hotmail troll.gif
Avatar de altazon INpactien
altazon Le vendredi 27 avril 2012 à 09:40:02
Inscrit le lundi 8 mars 10 - 2100 commentaires
La faille est énorme la quand même, ça fait froid dans le dos :o
Heureusement j'ai pas hotmail troll.gif


Ou pire, Skydrive....

re- troll.gif
Avatar de MaxMx INpactien
MaxMx Le vendredi 27 avril 2012 à 09:40:25
Inscrit le mercredi 15 juillet 09 - 6 commentaires
D'après ZATAZ d'autres webmail sont touchés !

Il y a 41 commentaires

;