Une faille 0-Day permettait de pirater les mots de passe de Live Hotmail
123123
Microsoft a annoncé sur son fil Twitter avoir corrigé un bug sur Live Hotmail sans fournir beaucoup de détails. De fait, une petite recherche a levé le doute : à l’aide d’une extension Firefox, n’importe qui pouvait redéfinir le mot de passe de n’importe quel compte Live. Un exploit expliqué de long en large sur YouTube par...Microsoft a annoncé sur son fil Twitter avoir corrigé un bug sur Live Hotmail sans fournir beaucoup de détails. De fait, une petite recherche a levé le doute : à l’aide d’une extension Firefox, n’importe qui pouvait redéfinir le mot de passe de n’importe quel compte Live. Un exploit expliqué de long en large sur YouTube par plusieurs vidéos « didactiques ».
« La vulnérabilité autorise un attaquant à réinitialiser le mot de passe Hotmail avec les valeurs de son choix. Des attaquants distants peuvent en effet éviter le processus de récupération pour redéfinir un nouveau mot de passe » explique Benjamin Kunz Mejri (Rem0ve), de Vulnerability Laboratory, qui se partage cette découverte avec un hacker saoudien de dev-point.com.
Dans le détail, la faille – considérée comme critique par ses découvreurs - se concentrait dans le système de jeton d'identification unique. La protection par token se contentait de vérifier si une variable est vide pour fermer, ou non, la session web. En modifiant cette variable, un attaquant pouvait donc bypasser tout le dispositif.
Comment ? Il suffisait d’utiliser Tamper Data, une extension Firefox qui analyse les requêtes HTTP et permet de les modifier à la volée. Comme l’explique Whitec0de, l’attaquant n’avait qu’à se rendre sur la page d’enregistrement Hotmail, cliquer sur « j’ai oublié mon mot de passe » puis sélectionner « M'envoyer un lien de redéfinition ». Restait à lancer Tamper Data pour modifier les variables adéquates. Une astuce qui faisait alors croire à Microsoft que vous aviez parfaitement rempli les étapes de vérification. En pleine confiance, l’éditeur basculait automatiquement le pirate sur la page de redéfinition du mot de passe où il n'avait plus qu’à choisir celui de son choix. Avec les conséquences désastreuses qu’on imagine : atteinte à la vie privée et aux données personnelles, vol de compte Paypal, escroquerie, etc.
Sur son fil twitter, Microsoft a indiqué que la faille en question était désormais colmatée, sans fournir plus d'informations, notamment sur le nombre potentiel de victimes.
« La vulnérabilité autorise un attaquant à réinitialiser le mot de passe Hotmail avec les valeurs de son choix. Des attaquants distants peuvent en effet éviter le processus de récupération pour redéfinir un nouveau mot de passe » explique Benjamin Kunz Mejri (Rem0ve), de Vulnerability Laboratory, qui se partage cette découverte avec un hacker saoudien de dev-point.com.
Dans le détail, la faille – considérée comme critique par ses découvreurs - se concentrait dans le système de jeton d'identification unique. La protection par token se contentait de vérifier si une variable est vide pour fermer, ou non, la session web. En modifiant cette variable, un attaquant pouvait donc bypasser tout le dispositif.
Comment ? Il suffisait d’utiliser Tamper Data, une extension Firefox qui analyse les requêtes HTTP et permet de les modifier à la volée. Comme l’explique Whitec0de, l’attaquant n’avait qu’à se rendre sur la page d’enregistrement Hotmail, cliquer sur « j’ai oublié mon mot de passe » puis sélectionner « M'envoyer un lien de redéfinition ». Restait à lancer Tamper Data pour modifier les variables adéquates. Une astuce qui faisait alors croire à Microsoft que vous aviez parfaitement rempli les étapes de vérification. En pleine confiance, l’éditeur basculait automatiquement le pirate sur la page de redéfinition du mot de passe où il n'avait plus qu’à choisir celui de son choix. Avec les conséquences désastreuses qu’on imagine : atteinte à la vie privée et aux données personnelles, vol de compte Paypal, escroquerie, etc.
Sur son fil twitter, Microsoft a indiqué que la faille en question était désormais colmatée, sans fournir plus d'informations, notamment sur le nombre potentiel de victimes.
Le 27 avril 2012 à 09:29
(25 556
lectures)
Soutenez l'indépendance de PC INpact en devenant Premium
- Tout le contenu de PC INpact sans pub
- Et bien plus encore...
Il y a 41 commentaires
INpactien
123123
Merci de ne pas divulguer de la sorte mon mot de passe favori
INpactien
la faille – considérée comme critique par ses découvreurs
pas que eux, n'importe quoi microsoft là dessus
INpactien
La faille est énorme la quand même, ça fait froid dans le dos :o
Heureusement j'ai pas hotmail
Heureusement j'ai pas hotmail
INpactien
La faille est énorme la quand même, ça fait froid dans le dos :o
Heureusement j'ai pas hotmail
Heureusement j'ai pas hotmail
Ou pire, Skydrive....
re-
INpactien
D'après ZATAZ d'autres webmail sont touchés !
INpactien
Tamper data, la même appli qui permet sur certain site d'e-commerce de changer le prix des achats ^^'
INpactien
Epic Fail.
INpactien
Ah ben je comprends mieux la course poursuite il y a 2 semaines pour tenter de récupérer la boîte mail d'une amie sympathiquement utilisée par des gentils africains qui s'amusaient à changer le mot de passe toutes les 2 minutes!
Elle est passée chez Gmail depuis!
Elle est passée chez Gmail depuis!
INpactien
John Shaft
Le vendredi 27 avril 2012 à 09:44:19
#9
Inscrit
le vendredi 14 janvier 11
-
7956
commentaires
Merci de ne pas divulguer de la sorte mon mot de passe favori
P'tit joueur, faut prendre M0tdepasse !
Edité par tot0che le vendredi 18 janvier 2013 à 19:33
INpactien
Marc, on ne parle de 0-day que quand un exploit est disponible alors que la faille n'est pas patchée.
Or, la timeline dans le bulletin indique que la faille a été corrigée le 21 avril, et la publication du bulletin n'a été faite qu'hier.
Il ne s'agit donc pas de 0-day.
Ce n'est pas la première fois que ce genre d'erreur arrive sur PCI, je le signale systématiquement quand je le vois, mais ça ne sert pas à grand chose apparemment.
À moins que 0-day soit dans le titre pour faire du sensationnalisme ?
Edité par Freud le vendredi 27 avril 2012 à 09:50
Or, la timeline dans le bulletin indique que la faille a été corrigée le 21 avril, et la publication du bulletin n'a été faite qu'hier.
Il ne s'agit donc pas de 0-day.
Ce n'est pas la première fois que ce genre d'erreur arrive sur PCI, je le signale systématiquement quand je le vois, mais ça ne sert pas à grand chose apparemment.
À moins que 0-day soit dans le titre pour faire du sensationnalisme ?
Edité par Freud le vendredi 27 avril 2012 à 09:50
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
Insolite : un designer fâché par le diaporama hideux de PRISM
(42)
Leçon de présentation -
L'agent Ma-Config mis à jour pour se débarrasser de certains soucis
(14)
Fini les blocages avec certains antivirus -
Paul Thurrott affirme que Windows 8.1 sera disponible le 1er août
(12)
Un bêta test qui serait donc très court -
iTunes 11.0.4 remet à l'honneur les pochettes d'albums
(7)
Fini les demandes intempestives...
Comment profiter du nouveau Google Maps sans invitation
Les chats gouvernent Internet, cela passe donc par les cookies
-
99,90 € pour un disque dur Toshiba de 3 To en S-ATA 6 Gb/s
Valable jusqu'au 20 juin -
Une GeForce GTX 680 avec le jeu Metro Last Light pour 299,90 €
Valable jusqu'au 21 juin -
Un iPad 2 blanc de 16 Go pour 349 €
Valable jusqu'au 23 juin -
DVD, Blu-ray et série TV : 45 € de réduction à partir de 90 € d'achat
Valable jusqu'au 14 juillet
