Slide 1 Slide 2 Slide 3 Slide 4 Slide 5 Slide 6 Slide 7 Slide 8 Slide 9 Slide 10 Slide 11 Slide 12 Slide 13 Slide 14 Slide 15 Slide 16 Slide 17 Slide 18 Slide 19 Slide 20 Slide 21 Slide 22 Slide 23 Slide 24 Slide 25 Slide 26 Slide 27 Slide 28 Slide 29 Slide 30 Slide 31 Slide 32 Slide 33 Slide 34 Slide 35 Slide 36

Blog

Une faille 0-Day permettait de pirater les mots de passe de Live Hotmail

Article 1 389 - Posté le 27-04-2012 à 13:17

Une faille 0-Day permettait de pirater les mots de passe de Live Hotmail

Microsoft a annoncé sur son fil Twitter avoir corrigé un bug sur Live Hotmail sans fournir beaucoup de détails. De fait, une petite recherche a levé le doute : à l’aide d’une extension Firefox, n’importe qui pouvait redéfinir le mot de passe de n’importe quel compte Live. Un exploit expliqué de long en large sur YouTube par plusieurs vidéos « didactiques ».

« La vulnérabilité autorise un attaquant à réinitialiser le mot de passe Hotmail avec les valeurs de son choix. Des attaquants distants peuvent en effet éviter le processus de récupération pour redéfinir un nouveau mot de passe » explique Benjamin Kunz Mejri (Rem0ve), de Vulnerability Laboratory, qui se partage cette découverte avec un hacker saoudien de dev-point.com.

Dans le détail, la faille – considérée comme critique par ses découvreurs - se concentrait dans le système de jeton d'identification unique. La protection par token se contentait de vérifier si une variable est vide pour fermer, ou non, la session web. En modifiant cette variable, un attaquant pouvait donc bypasser tout le dispositif.

Comment ? Il suffisait d’utiliser Tamper Data, une extension Firefox qui analyse les requêtes HTTP et permet de les modifier à la volée. Comme l’explique Whitec0de, l’attaquant n’avait qu’à se rendre sur la page d’enregistrement Hotmail, cliquer sur « j’ai oublié mon mot de passe » puis sélectionner « M'envoyer un lien de redéfinition ». Restait à lancer Tamper Data pour modifier les variables adéquates. Une astuce qui faisait alors croire à Microsoft que vous aviez parfaitement rempli les étapes de vérification. En pleine confiance, l’éditeur basculait automatiquement le pirate sur la page de redéfinition du mot de passe où il n'avait plus qu’à choisir celui de son choix. Avec les conséquences désastreuses qu’on imagine : atteinte à la vie privée et aux données personnelles, vol de compte Paypal, escroquerie, etc.

Sur son fil twitter, Microsoft a indiqué que la faille en question était désormais colmatée, sans fournir plus d'informations, notamment sur le nombre potentiel de victimes.




Lire les commentaires (0) Ajouter un commentaire

Retour


Utilitaires Loic DL

Multimédias

Partenaires

Flux RSS

  • RSS

Ressources

Statistiques

  • Articles Blog : 1 710
  • Images Galerie : 38
  • Vidéos : 4 091
  • Wallpapers : 8 365

Vidéo Aléatoire

Wallpaper Aléatoire

© 2010 - 2026 LoicDL.fr - Tous droits réservés. Source & Design by Loic DL

Page générée en 0.093 seconde.

Retour en haut