Lancé officiellement en octobre 2007, Windows Live Hotmail est le nouveau webmail de Microsoft programmé pour prendre la suite de MSN Hotmail. Comme beaucoup de services Web nécessitant un enregistrement, il a recours à un système Captcha. Cette forme de test de Turing a pour objectif d’offrir un moyen de différenciation entre les ordinateurs et les humains, à priori seuls capables de déchiffrer correctement des caractères contenus dans une image à déchiffrer. Pour la société de sécurité Websense, des pirates ont cependant réussi à contourner de façon automatisée le Captcha de Windows Live Hotmail.

C’est l’étude d’une récente campagne de spam qui a mis la puce à l’oreille des chercheurs de Websense, et le spam, c’est bien là tout l’intérêt de contourner une telle défense. Avec l’alibi Windows Live Hotmail, peu de chance en effet que le nom de domaine Microsoft soit inscrit dans une quelconque liste noire, et remonter les traces d’un compte parmi des millions d’autres que dénombre le webmail gratuit de Redmond, s’avère par ailleurs être une tâche plutôt ardue.

Si pour Websense la création des comptes mails devenus pourvoyeurs de spam est l’oeuvre d’un bot, il n’en dit guère plus sur le mode opératoire.  » Une fois sur la page d’enregistrement d’un compte Windows Live Hotmail, le bot commence par remplir le formulaire avec des données aléatoires. Au moment du test de vérification Captcha, le bot envoie l’image à un serveur distant chargé de déchiffrer le code inséré. Puis le bot reçoit une réponse du serveur.  » D’après Websense, le taux de réussite du bot serait de l’ordre de 30 à 35%.

Ce n’est toutefois pas la première fois que le système Captcha est contourné de manière automatisée. Le Captcha de Yahoo! Mail a ainsi connu pareille mésaventure il y a quelques semaines. Peut-être le Captcha est-il en train de vivre ses dernières heures.