Les comptes de courriel de plus de 40 millions d'usagers de Hotmail ont été exposés au grand jour. Un groupe de huit hackers prétend avoir fait ce pied de nez à Bill Gates afin «de démontrer la faiblesse de la sécurité chez Microsoft».
La brèche est colmatée, selon les porte-parole de Microsoft, mais une épaisse confusion règne autour des véritables responsable de ce problème. Chez Microsoft, on dit avoir affaire à une «attaque malicieuse» tandis que la plupart des spécialistes de sécurité s'entendent plutôt pour dire que le problème ressemble énormément à un accès furtif (backdoor) qui aurait été installé par les programmeurs de Hotmail. Une hypothèse réfutée sans grande conviction par les porte-parole de Microsoft à qui nous avons parlé. «Il s'agit d'une attaque malicieuse. Microsoft n'y est pour rien», s'est-t-on contenté de nous dire, sans pouvoir ajouter de précisions lorsque nous en avons demandé.
La facilité avec laquelle il était possible d'accéder au système est déconcertante. Il suffisait de faire lancer le script «start.cgi» avec n'importe quel nom d'usager et le mot de passe «eh». Une variante utilisant le mot de passe évocateur (et surtout édifiant) «fuckyoumicrosoft» a également circulé après que la première version eut cessé de fonctionner. Le script «start.cgi» était utilisé par l'ancienne version de la page d'accueil de Hotmail et avait été mis au rancart lors de la dernière refonte de la page. Il est cependant toujours actif sur les serveurs de Microsoft.
Les scripts .cgi (comme ceux qui appellent les nouvelles de Multimédium) peuvent être lancés en insérant la commande dans une adresse de site Web. L'aisance avec laquelle il était possible d'exploiter le problème a sans doute contribué à son acuité. Contrairement aux piratages habituels, qui nécessistent souvent une connaissance quasi ésotérique de l'informatique, n'importe qui sachant utiliser un fureteur Web pouvait voir ce que son voisin tramait avec son compte Hotmail.
Un groupe de pirates inconnu jusqu'ici, Hackers Unite, a revendiqué la publicisation de la brèche de sécurité. Ils auraient contacté le quotidien suédois Expressen, le premier média à parler de la situation. «La division européenne de Microsoft nous a mis au courant et nous avons commencé à enquêter là-dessus immédiatement», nous a expliqué Jill Schoolenberg, porte-parole de Microsoft Network Canada. Cependant, il aura fallu attendre à 11h15 heure de Montréal (curieusement au moment où CNN a commencé à parler de cette situation...) avant que les serveurs soient débranchés du réseau, et donc que les comptes Hotmail ne soient plus accessibles aux yeux du monde. Le service est revenu à la normale aux alentours de 13h, toujours heure de Montréal.
En passant, s'il a fallu un peu moins de deux heures à Microsoft pour réagir, il semble que les responsables du service francophone de courriel Web MonCourrier.com ne soient pas sur le même fuseau horaire en ce qui a trait au colmatage des brèches de sécurité. La faille qui place les mots de passe des usagers de MonCourrier de façon fort accessible dans le fichier-témoin (cookie) n'est toujours pas réglée. Rappelons que la direction de MonCourrier.com a avoué être au courant du problème depuis le 7 juillet dernier...
Dominic Fugère
Les experts interrogés par Wired News semblent bien croire que le trou de sécurité avait été laissé ouvert par les programmeurs du système
Si vous lisez le suédois, payez-vous les détails dans Expressen (et résumez-moi l'article, s'il vous plait ;o))
