Mercredi 2 septembre 1999 |
Le mot de
passe qui protégeait 50 millions de comptes Hotmail
était "eh"
Le plus grand fournisseur
d'email gratuit (racheté par Microsoft) a été
victime du plus gros piratage de toute l'histoire du Net.
L'intégralité des comptes de ses utilisateurs
était accessible ... sans mot de passe. Tout commence
lorsque deux serveurs web (un Suédois et un Anglais)
donnent accès à une page très simple:
elle demande le nom d'un compte Hotmail et permet de s'y connecter
sans mot de passe. Bien vite les répliques de cette
page (composée uniquement en html) fleurissent et ce
sont des centaines de milliers de personnes qui accèdent
aux comptes de leurs amis, connaissances et plus.
La faille provenait du script de connexion à Hotmail
ou plutôt de l'existence d'un deuxième script.
Le script utilisé sur la homepage d'Hotmail (qui s'appelait
dologin) vérifiait le login et le mot de passe entré.
Un deuxième, appelé start, ne vérifiait
que le login et un mot de passe commun à tous les comptes,
composé uniquement de 2 lettres: "eh". Une
mauvaise histoire drôle ni plus ni moins qui n'a pas
fait rire les utilisateurs de Hotmail dont le courrier a peut
être été lu ou dont le vrai mot de passe
a été noté, histoire de revenir une nouvelle
fois. On ne peut donc que leur conseiller d'en changer.
Jon Thompson, responsable d'un des serveurs Hotmail, cité
par MSNBC affirme que cette vulnérabilité existait
depuis 8 semaines, juste pour nous rassurer. En fait, le script
start aurait été installé à l'occasion
du lancement du MSN Passport qui permet de ne donner qu'une
fois son mot de passe pour accéder à tous les
services MSN. Du côté des hackers, la première
revendication provient d'un groupe de pirates inconnu, Hackers
Unit. Un de ses membres, âgé de 21 ans, a affirmé
avoir réalisé le piratage dans le seul
but de montrer les vulnérabilités de Microsoft.
Espérons que la firme de Redmond saura cette fois-ci
retenir la leçon. [Alain
Steinmann, JI]
Responsable de rubrique : Alain Steinmann
|
|