L'utilisateur de la messagerie Hotmail ayant oublié son mot de passe peut activer le mécanisme de reconfiguration. Sur l'adresse électronique secondaire de cet utilisateur, Microsoft procède alors à l'envoi d'un lien contenant un jeton d'authentification rattaché à ce compte Windows Live. Seulement, des chercheurs en sécurité ont découvert que ce système présentait une vulnérabilité permettant de reconfigurer le mot de passe de n'importe quel compte.
Les chercheurs de Vulnerability Labs ont découvert cette faille le 6 avril dernier mais n'ont informé Microsoft que le 20 avril. Entre-temps, plusieurs hackers ont pris connaissance de ce problème et monétisé leur expertise afin de hacker le système pour les internautes souhaitant obtenir l'accès à tel ou tel compte Windows Live. Six jours après avoir été informés, les experts de Microsoft ont corrigé ce problème.
Reste la grande inconnue : le nombre de comptes Hotmail compromis par ce hack... Rappelons que Microsoft propose une double authentification permettant, en cas de reconfiguration de mot de passe, de recevoir un code de confirmation par SMS sur son téléphone mobile.
On Friday we addressed a reset function incident to help protect Hotmail customers, no action needed
— Security Response (@msftsecresponse) April 26, 2012
