La firme de Redmond a indiqué avoir corrigé une vulnérabilité de sécurité pour le moins inquiétante qui concernait Hotmail. Une vulnérabilité 0-day qui a pu être exploitée par des attaquants afin de réinitialiser les mots de passe de comptes, et donc avoir accès à tout le contenu d'une boîte email.

Le blog white0de.com rapporte notamment qu'un membre d'un forum de hackers a proposé ses services pour 20 dollars et la promesse de pirater n'importe quel compte Hotmail en une minute. La technique a néanmoins été rapidement diffusée sur le Web.

Chercheur en sécurité pour Vulnerability Laboratory, Benjamin Kunz Mejri a confirmé l'existence d'une faille critique dans Hotmail. Plus particulièrement, au niveau de la fonctionnalité de la réinitialisation d'un mot de passe et le système d'authentification par jeton permettant normalement de s'assurer que seul le détenteur d'un compte peut procéder.

Via le concours de l'extension Tamper Data pour Firefox qui permet d'intercepter et modifier des requêtes HTTP d'un navigateur, des attaquants ont pu aller au-delà des protections mises en place pour les comptes Hotmail.

" Des attaquants distants peuvent passer outre le service de récupération de mot de passe pour configurer un nouveau mot de passe en se jouant des protections basées sur un jeton. La protection par jeton vérifie seulement si une valeur est vide, puis bloque ou ferme la session Web. Un attaquant distant peut, par exemple, passer outre la protection par jeton avec des valeurs +++)- "

, explique Vulnerability Laboratory qui a découvert la vulnérabilité le 6 avril dernier. Microsoft a été prévenu le 20 avril pour une correction intervenue un jour plus tard. Ce n'est toutefois qu'aujourd'hui que Microsoft a publiquement annoncé cette correction.

Sur les 350 millions d'utilisateurs de Hotmail, le nombre de victimes demeure une inconnue.

hotmail-logo