Alors qu’il a largement communiqué sur la menace que pouvait représenter le ver Conficker, Microsoft a presque passé sous silence le « colmatage » d’une faille très critique sur son service Windows Live (dont le très populaire Hotmail).
C’est d’abord le blog www.white0de.com qui rapporte qu’un membre d’un forum de hackers promet pour 20 dollars de pirater n’importe quel compte Hotmail et que, visiblement, l’information a quelque peu circulé sur le Web. Benjamin Kunz Mejri, un chercheur de Vulnerability Labs découvre effectivement début avril que, via une simple extension de Firefox (nommée Tamper Data), il est possible de sauter les étapes du processus de réinitialisation d’un mot de passe, afin d’en configurer un nouveau, en se faisant passer pour le propriétaire du compte. Pour, au final, accéder sans le moindre problème à n’importe quel compte.
L’information a mis quelque temps à remonter aux oreilles de Microsoft – ou bien la faille était difficile à combler – car l’éditeur n’a visiblement communiqué qu’hier (jeudi 26 avril) via son compte Twitter pour signifier que l’incident était clos. En revanche, la firme n’a dévoilé aucun chiffre quant au nombre de comptes piratés. Il y a plus de 350 millions de comptes Windows Live dans le monde…
Le problème est que, bien souvent, les utilisateurs n’ont qu’un seul et même identifiant pour les différents services Microsoft que sont, par exemple, le Xbox Live (la plateforme en ligne de la Xbox 360) ou encore Skydrive (pour le stockage et le travail collaboratif). Sans parler d’éventuels identifiants et mots de passe de services annexes tels que Twitter ou Facebook, qui seraient éventuellement stockés sur le compte de messagerie.
La faille semble avoir occasionné quelques dégâts. Il suffit de lancer une recherche sur une période récente dans Google avec les mots clés « compte+hotmail+piraté » pour s’apercevoir que de nombreux internautes semblent s’être fait « hacker » leurs comptes ces derniers jours. Si vous êtes dans ce cas et que Microsoft a désactivé votre compte à cause d’une activité suspecte, vous pouvez aller sur ce forum pour obtenir les renseignements nécessaires pour le débloquer. Nous avons contacté Microsoft à ce sujet, nous mettrons donc à jour notre article dès que nous aurons plus de précisions à vous apporter.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.