Afin d'assurer au mieux cette sécurité, Microsoft attaque sur plusieurs fronts, et l'on se souviendra notamment des recours techniques mais aussi juridiques utilisés aux États-Unis pour démanteler le botnet Waledac. Un panel de domaines utilisés par des cybercriminels ont ainsi pu être fermés.
Pour contrer le détournement de compte, Microsoft indique avoir mis à jour sa méthode de détection de comptes compromis. Ces derniers sont utilisés par l'usager Hotmail légitime et à son insu par le cybercriminel pour par exemple diffuser du spam.
" Nous détectons ces comptes plus efficacement en utilisant des heuristiques basées sur la connexion et l'activité d'un compte, et stoppons un abus en bloquant le cybercriminel et en fermant les portes dérobées qu'il a configurées, comme les réponses automatiques d'absence pour envoyer du spam "
, indique John Scarrow, responsable Safety Services chez Microsoft, tout en soulignant que dans le même temps un effort est mené afin que l'utilisateur légitime " réclame " son compte. Une récupération de compte qui passe par certaines preuves de détention avant de réinitialiser un mot de passe. C'est au niveau de ces preuves que Microsoft introduit deux nouveautés.
Jusqu'à présent, il s'agissait uniquement de l'adresse e-mail alternative et de la réponse à une question secrète. Une réponse dont Microsoft précise que seulement 25 % des utilisateurs qui en ont besoin s'en souviennent au bout du compte. Les deux nouvelles preuves sont un PC de confiance, à savoir le fait de lier un compte Hotmail avec un ou plusieurs ordinateurs. Pour réinitialiser un mot de passe, l'utilisateur devra simplement se connecter depuis un ordinateur cible pour être identifié comme légitime. L'autre nouvelle preuve est un numéro de téléphone mobile. Hotmail enverra un code secret via SMS qui pourra être utilisé pour réinitialiser un mot de passe et réclamer un compte.
À noter par ailleurs que pour ajouter une nouvelle preuve ou en modifier une, il faudra être capable d'accéder à la dernière preuve existante. " Si votre compte a déjà été configuré avec une preuve d'e-mail alternatif et que vous voulez ajouter un numéro de mobile, vous devez utiliser l'adresse e-mail alternative pour le faire ", cite à titre d'exemple Microsoft.
Ces nouvelles preuves sont en déploiement et déjà accessibles pour configuration avec certains comptes. Pour ce faire, il faut se rendre dans les options de Windows Live Hotmail ( Autres options... ), puis à la section " Gestion de votre compte " et choisir : " Consultation et modification de vos informations personnelles ".
