Microsoft bloque des milliers de comptes Hotmail piratés

Hélène Puel

01net

le 06/10/2009 à 19h20

36 réactions

envoyer
par mail

imprimer
l'article

En ce 6 octobre, certains abonnés au service de messagerie en ligne Windows Live Mail (anciennement Hotmail) n'arrivent pas à accéder à leur compte. Le problème ne vient pas de leur connexion à Internet. Leur mot de passe fait partie de ces dizaines de milliers de sésames dérobés par des pirates informatiques.

Microsoft confirme que plus de 10 000 identifiants à ses services en ligne ont été volés, avant d'être publiés sur un site Internet pour développeurs. Ce piratage à grande échelle, qui touche majoritairement l'Europe, concerne des adresses en hotmail.com, live.com et msn.com.

Pas de piratage de données sur les serveurs de Microsoft

« Nous allons bien entendu porter plainte, confie Bernard Ourghanlian, directeur de la technologie et de la sécurité de Microsoft. Dès que les identifiants ont été rendus publics, nous avons fait le nécessaire pour bloquer l'accès à tous les comptes concernés. Nous voulions éviter qu'une tierce personne accède aux informations et données personnelles de nos utilisateurs. » L'éditeur invite les internautes ne pouvant plus se connecter à leur webmail à remplir un formulaire en ligne à des fins d'identification.

L'alerte a été donnée par le site d'informations high-tech Neowin. Ses blogueurs ont eu la mauvaise surprise de découvrir des milliers de mots de passe et log-in Hotmail publiés sur Pastebin.com. Cette liste n'est aujourd'hui plus accessible. Tout comme le site de développeurs. Paul Dixon, son créateur, indique sur une page d'accueil : « Pastebin a été conçu comme un outil pour aider les développeurs, pas pour distribuer cette sorte de contenu [mots de passe et identifiants, NDLR]. Nous avons mis en place des filtres pour éviter qu'une telle chose ne se reproduise. Mais nous ne pouvons toujours pas faire face au pic de trafic. »

Selon Microsoft, ce piratage d'envergure ne viendrait pas d'une faille de sécurité interne. « Il n'y a aucun problème sur nos serveurs, assure Bernard Ourghanlian, les mots de passe ont été dérobés par une méthode de phishing. L'enquête en cours déterminera quel schéma a été utilisé. »

L'une des méthodes classiques de piratage dont sont victimes les utilisateurs de Windows Live consiste à leur faire saisir leurs identifiants Hotmail sur un faux site. Mais aussi ceux d'autres services comme Gmail ou encore Yahoo!, avec la promesse de passer de l'une à l'autre de ces plates-formes depuis un seul endroit.

Aujourd'hui, Microsoft n'est pas en mesure de confirmer si cette technique est à l'œuvre ici. Mais, depuis la divulgation des premières adresses, on a appris que des milliers de comptes Gmail et Yahoo! seraient également touchés.

Respecter les règles de sécurité

Avoir un seul compte pour se connecter à plusieurs services Internet, c'est justement ce à quoi travaille l'OpenID Alliance. Microsoft, Yahoo!, Google, Facebook et d'autres militent pour la mise en place d'un identifiant unique grâce auquel l'internaute pourrait accéder à tous ses comptes. On est en droit de se demander si ce sésame ne va pas contribuer à faciliter le piratage informatique.

« En l'état actuel, OpenID pose problème, concède Bernard Ourghanlian. C'est pourquoi Microsoft désire intégrer un système d'identification maison, également disponible sous Linux. CardSpace se substitue à la saisie d'un mot de passe. Une carte numérique chiffrée est stockée sur le disque dur de l'ordinateur. Elle génère le code attendu par le site Internet pour permettre l'accès au compte de l'utilisateur. »

En attendant le développement de systèmes d'identification plus sécurisés, Microsoft rappelle quelques règles de bon sens : installer un antivirus et changer son mot de passe tous les 90 jours. « Et surtout ne jamais laisser de mots de passe ni d'identifiants sur ses comptes de messagerie en ligne », conseille Bernard Ourghanlian.