Grâce à cette nouvelle astuce, un pirate peut diriger l’utilisateur d’un compte Hotmail vers une page web de son choix à la seule lecture d’un email. Il lui suffit pour cela d’intégrer des instructions en Javascript au champs « From: » d’un courrier envoyé sur Hotmail.

La technique relève ensuite plus de l’embrouille que de la haute technologie : le pirate, en imitant les pages de Hotmail, peut capturer le mot de passe de l’utilisateur en simulant une déconnexion.

Il semble qu’il soit également possible à l’intrus de se connecter directement au compte Hotmail de sa victime, tant que cette dernière demeure perdue sur le faux site. Les filtres mis en place par Microsoft sont censés interdire plusieurs connexions simultanées sur le même compte ou le changement d’adresse IP durant une même session, mais plusieurs sources nous affirment être parvenues à contourner cette limitation.

Hotmail souffre régulièrement de vulnérabilités liées, notamment, à la présence de code Javascript malicieux dans les messages reçus par ses utilisateurs. De nombreux autres web mail sont également vulnérables, mais souvent moins attaqués.