Le mot de passe qui protégeait 50 millions de comptes Hotmail était "eh"

Le plus grand fournisseur d'email gratuit (racheté par Microsoft) a été victime du plus gros piratage de toute l'histoire du Net. L'intégralité des comptes de ses utilisateurs était accessible ... sans mot de passe. Tout commence lorsque deux serveurs web (un Suédois et un Anglais) donnent accès à une page très simple: elle demande le nom d'un compte Hotmail et permet de s'y connecter sans mot de passe. Bien vite les répliques de cette page (composée uniquement en html) fleurissent et ce sont des centaines de milliers de personnes qui accèdent aux comptes de leurs amis, connaissances et plus.
La faille provenait du script de connexion à Hotmail ou plutôt de l'existence d'un deuxième script. Le script utilisé sur la homepage d'Hotmail (qui s'appelait dologin) vérifiait le login et le mot de passe entré. Un deuxième, appelé start, ne vérifiait que le login et un mot de passe commun à tous les comptes, composé uniquement de 2 lettres: "eh". Une mauvaise histoire drôle ni plus ni moins qui n'a pas fait rire les utilisateurs de Hotmail dont le courrier a peut être été lu ou dont le vrai mot de passe a été noté, histoire de revenir une nouvelle fois. On ne peut donc que leur conseiller d'en changer.
Jon Thompson, responsable d'un des serveurs Hotmail, cité par MSNBC affirme que cette vulnérabilité existait depuis 8 semaines, juste pour nous rassurer. En fait, le script start aurait été installé à l'occasion du lancement du MSN Passport qui permet de ne donner qu'une fois son mot de passe pour accéder à tous les services MSN. Du côté des hackers, la première revendication provient d'un groupe de pirates inconnu, Hackers Unit. Un de ses membres, âgé de 21 ans, a affirmé avoir réalisé le piratage dans le seul but de montrer les vulnérabilités de Microsoft. Espérons que la firme de Redmond saura cette fois-ci retenir la leçon. [Alain Steinmann, JI]