Une grave faille de sécurité dans le service de messagerie électronique Hotmail de Microsoft a été découverte au début de ce mois et a été largement étudiée la semaine dernière. Elle permettait à une personne connaissant la faille de changer le mot de passe d’un compte Hotmail sans même avoir besoin du mot de passe original ou même de répondre aux questions de confirmation bien connues. Il suffisait d’une extension Firefox et du désir de violer la sécurité de tout compte.
La manière dont cette vulnérabilité a été exploitée était très intéressante. En plaçant une adresse électronique Hotmail sur la page de connexion et en cliquant sur “J’ai oublié mon mot de passe”, l’utilisateur reçoit quelques options pour retrouver l’accès à son compte. S’il choisissait l’alternative “Envoyez-moi un lien de réinitialisation par courrier électronique”, la page en question ferait une demande HTTP avec ce qui serait l’adresse électronique alternative pour le compte en question, afin que le lien soit envoyé à cette adresse. Cette demande HTTP pourrait toutefois être modifiée avec Tamper Data (une extension Firefox permettant de modifier les données d’une demande HTTP) pour envoyer le lien de réinitialisation du mot de passe à un autre courriel.
Voir une vidéo de démonstration de la vulnérabilité ci-dessous.
http://www.youtube.com/watch?v=OnP4VTXdOXw(Vidéo sur YouTube)
Ainsi, une personne pouvait envoyer le lien vers son propre courriel, réinitialiser le mot de passe de n’importe quel compte et y accéder de manière très simple. Et si elle était liée à d’autres comptes de réseaux sociaux, comme Twitter et Facebook, ces comptes finiraient également par être compromis. Comme le souligne Whitec0de.com, la vulnérabilité a déjà été corrigée par Microsoft, mais il suffit de rechercher ” ? ??? ? ??????? 2012 ” sur YouTube pour voir plusieurs autres vidéos de son exploration.
La vulnérabilité a été découverte par un hacker arabe et j’imagine qu’en raison de la différence de langues, elle a contribué à empêcher qu’elle ne se propage trop. Mais un autre hacker a fini par publier cette vulnérabilité dans un forum connu (et a fait payer 20 euros pour voler des comptes) et elle a fini par être largement exploitée. Le site web de Microsoft Answers contient le nom de plusieurs personnes qui ont été attaquées et dont les comptes ont été changés en arabe.
Nous avons contacté Microsoft pour demander une position officielle de la société sur la vulnérabilité, mais au moment de la publication de ce message, il n’y a pas eu de réponse.
Un conseil de mon ami @khaled via Twitter. ? ??? ? ?! (Merci !)
