Passer au contenu

Une importante faille sur Windows Live

Une extension Firefox permettait de réinitialiser le mot de passe de n’importe quelle adresse Windows Live. Microsoft a annoncé avoir comblé cette faille dans un tweet…

Une extension Firefox permettait de réinitialiser le mot de passe de n’importe quelle adresse Windows Live. Microsoft a annoncé avoir comblé cette faille dans un tweet laconique. Découverte par Benjamin Kunz, de Vulnerability Laboratory, et un hacker saoudien de Dev-point.com, l’extension Firefox permettait de faire sauter les étapes de vérifications avant la réinitialisation du mot de passe.

La vulnérabilité autorise un attaquant à réinitialiser le mot de passe Hotmail avec les valeurs de son choix. Des attaquants distants peuvent en effet éviter le processus de récupération pour redéfinir un nouveau mot de mot de passe

Explique Kunz après sa découverte. Pour changer le mot de passe de n’importe quelle adresse Live, il suffisait d’utiliser Tamper Data, une extension de Firefox qui analyse les requêtes HTTP et permet de les modifier. Microsoft assure qu’il a corrigé la faille, mais ne donne pas plus d’informations. Redmond n’indique pas non plus le nombre de personnes victimes de cette faille.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

13 commentaires
  1. @Jazzsession
    Ouais, et on va dire que par endroit, y’a plus de mauvais que de bon..
    J’veux pas être médisant, mais la vérification coté serveur, c’est la base

    Chez m$, ils sont persuadés que comme les sources sont lock, y’a pas besoin de vérifier coté serveur

    Ils se font avoir à chaque fois, depuis toujours

  2. J’adore cette “fonction” qu’ont les hackeurs de chercher les failles pour améliorer les applications et services en ligne.

    C’est totalement à l’opposé de la mauvaise image qu’on leur donne souvent (pirates, cyber-criminels, etc.)

    Merci à eux 🙂

  3. @KalamiGeek: Rien à voir, les hacher sont des personnes qui cherche a comprendre comment fonctionne les sécurités, un cracker c’est quelqu’un qui casse la protection des logiciel. (CF. wikipedia)

    Ici, le nom exacte de ceux qui pirate un site pour leur usage personnelle et ceux qui le pirate pour amélioré la sécurité du site (en avertissant l’admin de cette faille) c’est White Hat et Black Hat

    En sachant que la plupart des Black Hat finissent par être reconnu et embauché dans certaine boite de sécurité et deviennent des White Hat à cette occasion

    Il faut savoir aussi qu’un White Hat est souvent payé des sommes phénoménale. (un site ou entreprise paye cette personne des millier de dollars pour tester leur sécurité)

    Alors que le Black Hat n’est pas payé, mais utilise ces failles à des fin personnelles.
    D’ailleurs, une banque des Etas-Unis avait été piraté par un Black Hat et les distributeur à billet en façade ce sont mis à éjecter la totalités de l’argent qu’il contenait.

    Enfin bref, ici on à affaire a un White Hat (même si il a très bien pu utilisé cette faille avant d’en avertir M$.

    C’était la minute culturel, bla bla bla ^^

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Mode