Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

La sécurité de Hotmail de nouveau mise en cause

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur La sécurité de Hotmail de nouveau mise en cause

Un groupe de pirates vient de publier les détails d’une attaque particulièrement simple permettant à n’importe quel utilisateur de Hotmail de lire les messages des autres abonnés.


La sécurité du plus populaire des webmails est régulièrement battue en brèche. Quelques jours à peine après que Microsoft ait annoncé l’infection de plusieurs serveurs de Hotmail par le ver Code Red, une nouvelle faille embarrassante est mise à jour.Celle-ci permet à tout utilisateur de la messagerie d’accéder au courrier de n’importe quel autre, en copiant pour cela l’adresse de l’un de ses propres messages. Il lui suffit alors de changer dans l’URL son nom par celui de sa victime et de remplacer le numéro du message qu’il consulte par celui d’un message présent dans le compte cible.C’est évidemment ici que réside la seule difficulté : comment trouver un numéro de message inconnu ? Si ces derniers étaient réellement aléatoires et suffisamment longs, ce serait compliqué. Hélas, ils sont relativement courts et répondent tous au même modèle. Il devient dès lors possible de leur appliquer une attaque par recherche exhaustive. Les pirates à l’origine de la découverte offrent d’ailleurs un logiciel qui se charge d’explorer tous les numéros de messages possibles entre deux dates données.Les pirates ont cependant informés Microsoft de la faille, et celle-ci pourrait donc être neutralisée prochainement. En attendant, cependant, rien ne permet aux utilisateurs de la messagerie de se protéger contre cette attaque.Les détails techniques : Root Core


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.