Loic DL

Une faille 0-Day permettait de pirater les mots de passe de Live Hotmail

Microsoft a annoncé sur son fil Twitter avoir corrigé un bug sur Live Hotmail sans fournir beaucoup de détails. De fait, une petite recherche a levé le doute : à l’aide d’une extension Firefox, n’importe qui pouvait redéfinir le mot de passe de n’importe quel compte Live. Un exploit expliqué de long en large sur YouTube par plusieurs vidéos « didactiques ».

« La vulnérabilité autorise un attaquant à réinitialiser le mot de passe Hotmail avec les valeurs de son choix. Des attaquants distants peuvent en effet éviter le processus de récupération pour redéfinir un nouveau mot de passe » explique Benjamin Kunz Mejri (Rem0ve), de Vulnerability Laboratory, qui se partage cette découverte avec un hacker saoudien de dev-point.com.

Dans le détail, la faille – considérée comme critique par ses découvreurs - se concentrait dans le système de jeton d'identification unique. La protection par token se contentait de vérifier si une variable est vide pour fermer, ou non, la session web. En modifiant cette variable, un attaquant pouvait donc bypasser tout le dispositif.

Comment ? Il suffisait d’utiliser Tamper Data, une extension Firefox qui analyse les requêtes HTTP et permet de les modifier à la volée. Comme l’explique Whitec0de, l’attaquant n’avait qu’à se rendre sur la page d’enregistrement Hotmail, cliquer sur « j’ai oublié mon mot de passe » puis sélectionner « M'envoyer un lien de redéfinition ». Restait à lancer Tamper Data pour modifier les variables adéquates. Une astuce qui faisait alors croire à Microsoft que vous aviez parfaitement rempli les étapes de vérification. En pleine confiance, l’éditeur basculait automatiquement le pirate sur la page de redéfinition du mot de passe où il n'avait plus qu’à choisir celui de son choix. Avec les conséquences désastreuses qu’on imagine : atteinte à la vie privée et aux données personnelles, vol de compte Paypal, escroquerie, etc.

Sur son fil twitter, Microsoft a indiqué que la faille en question était désormais colmatée, sans fournir plus d'informations, notamment sur le nombre potentiel de victimes.

Lire les commentaires (0) Ajouter un commentaire

Microsoft aborde la gestion des applications Metro en entreprise

Les billets postés jusqu’ici sur le blog officiel de Windows 8 ont pour la plupart été orientés vers le grand public. Microsoft avait notamment à cœur d’expliquer les bénéfices de son nouveau système pour une population qui devra prendre de nouveaux réflexes. Mais un nouveau billet se concentre cette fois sur le monde de l’entreprise et comment il sera possible de gérer les applications Metro.

Au sein des grands parcs informatiques où les postes sont particulièrement verrouillés, il y a de fortes chances que la boutique Windows Store soit désactivée. Les développements internes qui seront réalisés auront du coup plusieurs moyens pour diffuser des applications maison sur les postes de l’entreprise.

Les développeurs auront ainsi le choix de distribuer les applications internes sans passer par le Store. Les déploiements seront centralisés sur un serveur, et les développeurs pourront utiliser le Windows App Certification Kit pour vérifier le fonctionnement de leurs créations. Pour information, ce kit reprend les outils utilisés chez Microsoft pour valider les applications sur le Store. Évidemment, dans le cas où l’application pourrait intéresser d’autres sociétés, elle aurait tout intérêt à être vendue.

Il faudra en outre remplir certaines conditions. Les applications devront par exemple être obligatoirement signées par un certificat. Les postes clients devront pour leur part avoir activé le sideloading d’entreprise qui permet de lancer des applications Metro qui ne proviennent pas du Store. Le certificat est alors contrôlé par le poste avant que l’application ne soit exécutée. La politique de groupe devra également autoriser le lancement des applications « de confiance ».

La gestion des applications sera centralisée. L’administrateur pourra par exemple déployer les applications depuis un serveur en se servant de l’outil Deployment Image Servicing and Management (DISM) ou via PowerShell. Les mises à jour seront également gérées de la même manière : l’administrateur choisit quand elles doivent être déployées.

Enfin, les administrateurs auront la possibilité de verrouiller tout ou partie du Windows Store.

Lire les commentaires (0) Ajouter un commentaire

Free Mobile : la hotline facturée même pour les petits forfaits

Une petite confusion dans les brochures tarifaires de Free Mobile a laissé penser que l’accès à la hotline de Free Mobile n’était pas facturé aux détenteurs d’un forfait à petit prix (2 euros par mois, ou 0 euro pour les abonnés Freebox).

Free a donc apporté quelques précisions en indiquant qu’il n’en est rien, et que ces appels seront bien décomptés du forfait.

L’appel à la hotline de Free est donc bel et bien facturé aux abonnés des « petits » forfaits. L’opérateur précise toutefois que ces communications ne seront pas considérées en hors forfait, mais seront décomptées des 60 minutes incluses. De même, Free prévient également que les abonnés d’une offre à 19,99 euros par mois (ou 15,99 pour les abonnés Freebox) bénéficient bel et bien des appels inclus vers la hotline.

Lire les commentaires (0) Ajouter un commentaire