K-Otik (France) - Une équipe d'informaticiens vient de révéler un problème critique dans la sécurité des comptes Hotmail & Passport (.NET) de Microsoft. En effet cette faille de sécurité, très grave, et très facilement exploitable, se situe dans le mécanisme de récupération des mots de passe du passeport (en cas de perte). Un utilisateur ou un pirate peut, grâce à cette faille changer le mot de passe de n'importe quel compte Hotmail ou Passport (.NET) grâce à une simple URL. La simplicité de cette attaque met en danger les milliers de comptes Hotmail et Passport (.NET), voici les détails techniques :

Pour changer le mot de passe du compte par exemple , un attaquant se rend à l'adresse :

https://register.passport.net/emailpwdreset.srf?lc=1033&em=&id=&cb=&prefem=&rst=1

Cette URL permet à l'attaquant de recevoir à son adresse , le lien suivant :

http://register.passport.net/EmailPage.srf?EmailID=AX23....&URLNum=0&lc=1033

Il suffira ensuite de cliquer sur ce lien, et de changer le mot de passe de la victime, en toute simplicité.

Le système vulnérable n'est plus en ligne. Microsoft à décidé (heureusement) d'arrêter le dispositif touché par ce problème, et de désactiver l'option "Récupérer Le Mot de Passe", en attendant la sécurisation totale du système. Donc pas de week-end cette semaine pour l'équipe technique de Microsoft.