La sécurité du plus populaire des webmails est régulièrement battue en brèche. Quelques jours à peine après que Microsoft ait annoncé l’infection de plusieurs serveurs de Hotmail par le ver Code Red, une nouvelle faille embarrassante est mise à jour.Celle-ci permet à tout utilisateur de la messagerie d’accéder au courrier de n’importe quel autre, en copiant pour cela l’adresse de l’un de ses propres messages. Il lui suffit alors de changer dans l’URL son nom par celui de sa victime et de remplacer le numéro du message qu’il consulte par celui d’un message présent dans le compte cible.C’est évidemment ici que réside la seule difficulté : comment trouver un numéro de message inconnu ? Si ces derniers étaient réellement aléatoires et suffisamment longs, ce serait compliqué. Hélas, ils sont relativement courts et répondent tous au même modèle. Il devient dès lors possible de leur appliquer une attaque par recherche exhaustive. Les pirates à l’origine de la découverte offrent d’ailleurs un logiciel qui se charge d’explorer tous les numéros de messages possibles entre deux dates données.Les pirates ont cependant informés Microsoft de la faille, et celle-ci pourrait donc être neutralisée prochainement. En attendant, cependant, rien ne permet aux utilisateurs de la messagerie de se protéger contre cette attaque.Les détails techniques : Root Core