Attention, environ un million de comptes de Facebook seraient vulnérables et pourraient être hackés facilement. Tout ce dont le hacker en herbe nécessite est un peu de patience et une adresse Hotmail qui va expirer.
Selon une étude menée par des chercheurs en sécurité à l’Université Rutgers à Newark au New Jersey, la menace provient du fait que Microsoft ferme les comptes Hotmail inutilisés après 270 jours d’inactivité et réaffecte les adresses email pour les nouveaux utilisateurs qui en font la demande.
Facebook, quant à lui, utilise une adresse e-mail comme identifiant. Ainsi, un hacker peut accéder à n’importe quel compte Facebook qui utilise une adresse Hotmail expirée comme login.
Pour savoir si l’adresse Hotmail de la cible a expiré, un hacker peut simplement envoyer un email en guise de test. Si celui-ci reçoit un message lui indiquant que la “boîte aux lettres du destinataire est indisponible”, cela signifie que le hacker tient son adresse Hotamil expirée.
Importer des contacts Facebook dans Windows Live Messenger rend les choses encore plus facile, car il indique automatiquement les utilisateurs dont les adresses ont expiré.
Le hacker peut alors s’inscrire sur Hotmail, demander ce que l’adresse lui soit assignée et ainsi la réactiver. La saisie de l’adresse dans l’écran de connexion Facebook et le fait de cocher l’option “mot de passe oublié” entraîne le processus de récupération de mot de passe.
Facebook envoie alors un email à l’adresse email réactivé, suite à quoi l’attaquant peut réinitialiser le mot de passe et prendre le contrôle complet d’un compte Facebook.
Dans un essai, les chercheurs ont réussi avec succès l’accès à 15 comptes Facebook, mais ont alors interrompu l’expérience pour éviter les “dilemmes éthiques” et les “problèmes juridiques potentiels”.
Dans leurs conclusions, ils estiment que les hackers pourraient avoir accès à un maximum d’un million de comptes Facebook. Cela représente une petite fraction d’un milliard de comptes du service.
D’autres services en ligne pourraient être tout aussi vulnérables, mais un porte-parole de Google a confirmé que la société ne recycle pas les adresses électroniques de ses utilisateurs.
Dans un email à New Scientist, un membre de l’équipede Microsoft a expliqué que “ce n’est pas un problème avec Facebook ou Hotmail. Quand quelqu’un cesse d’utiliser son compte Microsoft, il devrait également cesser d’avoir d’autres services Internet associés à cette adresse”.
Via (NewScientist)
