Une
faille dans la messagerie Hotmail permet
à un utilisateur de lire les messages des autres
utilisateurs dont il connaît le login (18/08/01)
MISE
A JOUR : la faille a été corrigée
dans la nuit du 20 au 21 août (lire ici)
Le 18
août 2001, un site underground anglophone a rapporté
l'existence d'une faille dans la sécurité de
la messagerie en ligne MSN
Hotmail.
Grâce
à une URL spécifique, un utilisateur connecté
à Hotmail peut prendre connaissance des messages reçus
par les autres utilisateurs dont il connaît le login
(partie de l'adresse email précédant le @),
et le cas échéant accéder à leurs
fichiers joints, que ces utilisateurs soient ou non eux-mêmes
connectés à Hotmail.
La seule
difficulté réside dans le fait de trouver le
numéro identifiant les messages concernés, mais
le site qui rapporte la vulnérabilité fournit
en libre téléchargement un scanner permettant
d'automatiser cette tâche.
Afin
d'éviter toute incitation au piratage, il ne sera donné
ici aucune indication permettant de retrouver le site ou l'URL
précédemment évoqués. L'existence
de la faille ne fait cependant aucun doute, puisqu'elle a
encore été exploitée par nos soins ce
lundi 20/08/01 à 22h30 sur un compte de test.
Tous les
utilisateurs de la messagerie sont concernés, et il
n'existe aucun moyen de s'en prémunir. Hotmail a été
informé, mais en attendant la correction de cette faille
il est recommandé de supprimer ou de télécharger
tout courrier ayant un caractère confidentiel.
La
faille affectant Hotmail semble avoir été corrigée
dans la nuit du 20 au 21 août (heure de Paris). Le protocole
fournit par le site underground n'est en tout cas plus exploitable.
Cette
faille jette une nouvelle fois le doute sur la sécurité
de Passport, le service d'identification en ligne de Microsoft
étroitement associé à Hotmail, qui doit devenir l'un des piliers
de sa stratégie .NET.
Pour
plus d'informations, quelques articles récents :
Windows
XP : l'anonymat sur Ie Web préservé in extremis
17/08 - 01net (lire
l'article)
Microsoft
: le procès, Passport, Windows XP…
16/08 - VNUNet (lire
l'article)
L’accès
à Passport bientôt moins contraignant
13/08 - LMI (lire
l'article)
|