Hotmail : une faille permet de contourner les mots de passe....

Hotmail : une faille de sécurité critique permet de contourner les mots de passe....voir ci dessous...a+..malaga..
----------------------------------------------------------------------------------------------------
par Vincent Pierrot, ZDNet France. Publié le vendredi 27 avril 2012
-------------------------------------------------------------------------------------
Sécurité - Découverte par les chercheurs de Vulnerability Laboratory, la brèche permettait, à l’aide d’une simple extension Firefox, de sauter le formulaire de remise à zéro de mot de passe pour en créer un nouveau. Depuis, Microsoft assure avoir comblé la faille.

D’après le rapport rendu par l’agence de sécurité, la faille provenait du système d’authentification par jeton (token) des comptes Hotmail. Se faisant passer pour un utilisateur, les hackers pouvaient redéfinir, à leur guise, le mot de passe du compte.


Lors de la demande de création d’un nouveau mot de passe, le système de sécurité vérifiait seulement si une variable était vide, ou pas, pour ouvrir ou fermer la session web suivante. Sachant cela, il suffisait aux hackers d’utiliser le plugin pour Firefox Tamper Data pour analyser et modifier à souhait les requêtes HTTP entrantes et sortantes. En transmettant la valeur vide, le système de Microsoft autorisait alors le hacker à modifier le mot de passe du compte ciblé.

Pas d'information sur le nombre de comptes hackés
--------------------------------------------------------------------

Un rapport publié sur whitec0de.com précise que la faille, apparemment déjà connue dans les limbes du web, s’est largement répandue lorsqu’un membre d’un forum de hacking s’est vanté de pouvoir « craquer n’importe quelle boîte mail en moins d’une minute. »


Il semblerait par ailleurs que de nombreux comptes PayPal, Facebook et Twitter liés à des comptes Hotmail aient été pillés et fermés. Microsoft, qui s’est exprimé via son compte Twitter la semaine dernière, assure avoir pris les mesures nécessaires. Rien n’a été communiqué concernant le nombre de comptes hackés ou une éventuelle contrepartie pour les utilisateurs lésés.