Comptes Hotmail en danger

Une fois de plus, les utilisateurs du service Hotmail sont confrontés à une nouvelle menace qui, outre la confidentialité de leurs mots de passe, pourrait fort bien affecter le caractère privé de leurs messages et de leurs messageries électroniques.

Depuis sa création, Hotmail, le plus populaire et le plus prisé des services de messagerie gratuits d’Internet, n’a cessé d’être la victime de problèmes de sécurité en tout genre. Pour l’instant, le fait qu’un agresseur puisse se procurer le mot de passe qui permet d’accéder au système de l’utilisateur dont il veut espionner la messagerie, est un sérieux souci.

L’une des méthodes les plus souvent utilisées par ces pirates est d’inclure une phrase JavaScript dans un message, de manière à simuler l’écran de demande du mot de passe. Croyant qu’il s’agit d’un échec de connexion, la victime ré-entre son mot de passe alors qu’en fait, celui-ci est tout simplement envoyé à l’attaquant.

Conscient de ce problème, Hotmail filtre les commandes JavaScript inclues dans les messages; mais il est en échec lorsque celles-ci se trouvent dans des étiquettes html imprévues. Dans ce cas-là, on a découvert qu’il était possible d’exécuter JavaScript via « @import url( ) », mais en courant le risque de compromettre la boîte aux lettres de l’utilisateur de Hotmail, en visualisant le message par Internet Explorer.

Microsoft a corrigé ce problème dès qu’il en a eu connaissance. Mais la mesure de sécurité la plus efficace pour éviter ce genre de désagrément reste néanmoins de désactiver JavaScript (Active Scripting) dans Hotmail et dans d’autres serveurs Web de même type, avant de visualiser des messages provenant d’un serveur Web.

réalisé en collaboration avec Panda Software