Publié le 11-11-2006 dans le thème Réseau - Sécurité

Pays : International - Auteur : Damien Bancal

Pub : CD + DVD vierges - TV + Hifi. Cartouches d'encre - Console de jeux

Scoop : Lire les mels des utilisateurs de Hotmail, simple comme un clic de souris.

Il se nomme Reda Cherqaoui, un jeune internaute marocain passionné de bidouille et de découverte sur la toile. Ce dernier nous a démontré et expliquer comment pénétrer n'importe quel compte ouvert chez Hotmail, le webmail de Microsoft. Un véritable problème tant la technique était simple, efficace. "Un pirate, explique-t-il, avec ce genre de faille en main peut usurper l'identité de n'importe qui sur Internet". Une usurpation bien difficile à contrer pour les victimes potentielles de ce genre de vulnérabilité informatique. Pour les pirates, un jeu d'enfant. Pas besoin de savoir programmer ou d'utiliser des logiciels complexes.




Comment ça marche
Le système mis en place par cet internaute utilise l'interception du cookie d'un abonné Hotmail. Via trois failles, des XSS sur trois pages différentes (Calendar, ...), un simple navigateur et le programme anEC cookie editor, une extension proposée gratuitement pour le navigateur de la fondation Mozilla. Les failles XSS permettaient d'afficher le cookie, un code en php, offrait la possibilité de récupérer ce petit fichier texte à distance, en toute transparence.

Une fois le cookie en main, il suffisait ensuite d'utiliser anEC Cookie editor pour modifier le cookie à la volée. Une modification qui permettait de prendre la place du véritable propriétaire du compte Hotmail visé. Ces trois failles ont été découvertes en septembre dernier. Microsoft, contacté, a corrigé l'ensemble des problèmes, ce jeudi.



Protection ?
Nous vous révélions, voilà quelques semaines, le même type de problème pour le site Cdiscount (lire l'article via le lien à la fin de cette actualité, NDR). Ce site de commerce en ligne français avait été très réceptif et avait corrigé sa faille en deux temps, trois mouvements. Ce qui n'a pas été le cas pour un site web d'information français, que nous avons averti, voilà bientôt deux mois.

Pour ce qui est des cookies employées pour valider vos connexions sur un webmail, ... n'oubliez pas cette règle de base : Refuser n'importe quel lien vous proposant de visiter un site web, de regarder une image ou écouter une musique lors de la consultation de votre compte mel, via un webmail; Lors de la consultation de votre espace client, via une e-boutique; ... n'accepter aucune connexion proposée via MSN, ICQ, IRC, Skype, ...

Un réseau belge de piraterie étouffé dans l’oeuf

Nouvelle descente de police dans le milieu du warez. Des agents de la Computer Crime Unit de la police fédérale judiciaire de Bruxelles mettent la main sur un TOP

31 réalisateurs en accord avec la loi création et Internet

Costa-Gavras, Rachid Bouchareb ou encore Gérard Jugnot font parti des réalisateurs à voter pour le projet de loi création et Internet.

Le Top 10 des menaces de juin 2008 selon BitDefender

Pas de changement depuis le dernier classement pour les deux premières places, avec Trojan.clicker.CM et Trojan.Downloader.WMA.Wimad.N. Le trojan Trojan.FakeAlert.PP gagne du terrain.

Sécurité dédiée aux terminaux mobiles

Sybase iAnywhere Offre de nouvelles fonctionnalités de sécurité mobile pour répondre aux problèmes accrus liès aux malware, pirates et virus informatiques.

Authentification forte

Mobilegov, éditeur de solutions de sécurité basées sur la technologie brevetée de l'ADN du Numérique annonce le démarrage de projets pilotes avec deux organismes bancaires majeurs en Europe.

Boulette informatique de la mort qui tue !

L'administration en charge du numéro de Sécurité Sociale diffuse les données sensibles de 20.000 américains qu'elle croyait décédés.

Une page du CNRS redirigée par un pirate

Un groupe de pirates a réussi a rediriger une page Internet appartenant au site du Centre National de la Recherche Scientifique.

Un robot policier pour traquer les heures'supps !

Un robot va patrouiller dans les bureaux d'une firme japonaise afin de contrôler les employés couche tard !

Authentification forte

Mobilegov, éditeur de solutions de sécurité basées sur la technologie brevetée de l'ADN du Numérique annonce le démarrage de projets pilotes avec deux organismes bancaires majeurs en Europe.

Stonesoft augmente la performance des protections Intranet de 60 %

Le système de prévention des intrusions (IPS) de Stonesoft est le meilleur moyen pour analyser le trafic des agrégats de lignes entre les commutateurs

Solution de sauvegarde en ligne AdBackup d’Oodrive

MAAF Assurances recommande la solution AdBackup d’Oodrive qui permet aux entreprises de ne pas courir le risque de la perte de données et d’agir en préventif.

News letter ZATAZ.COM

Inscrivez-vous gratuitement à la News-Letter de ZATAZ.COM et recevez, dans votre boite électronique, l'actualité diffusée dans nos colonnes.

Les secrets des membres de Youtube révélés

Le portail communautaire de diffusion de vidéo YouTube va devoir dévoiler les habitudes de ses visiteurs à la demande de la justice américaine.

Ca bouge chez HP: un espion viré

Un vice-président de la société informatique HP mis à la porte après avoir espionné et volé des données à un concurrent.

Soldes: Portes-ouvertes numériques chez Nina Ricci

Exclu - Découverte d'un accès à l'administration du site Internet la marque de luxe Nina Ricci.

Cyberoam vs menaces numériques

Cyberoam lance une nouvelle version de son firmware pour mieux armer les entreprises contre les nouvelles menaces.