Plus de 10 000 noms d’utilisateur et mots de passe pour les comptes Windows Live Hotmail ont été divulgués en ligne à la fin de la semaine dernière, selon un rapport de Neowin.net , qui a affirmé qu’ils avaient été publiés par un utilisateur anonyme sur pastebin.com jeudi dernier.
Le poste a depuis été supprimé.
Neowin a indiqué qu’il avait vu une partie de la liste. « Neowin a vu une partie de la liste affichée et peut confirmer que les comptes sont authentiques et que la plupart semblent être basés en Europe », a déclaré le site. « La liste détaille plus de 10 000 comptes de A à B, suggérant qu’il pourrait y avoir des listes supplémentaires. »
Les noms d’utilisateur et mots de passe Hotmail sont souvent utilisés pour plus que se connecter au service de messagerie en ligne de Microsoft, cependant. De nombreuses personnes se connectent à un large éventail de propriétés en ligne de Microsoft – y compris la version d’essai des applications Office basées sur le Web de l’entreprise, le site de test bêta Connect et le service de stockage en ligne Skydrive – avec leurs mots de passe Hotmail.
On ignorait comment les noms d’utilisateur et les mots de passe avaient été obtenus, mais Neowin a émis l’hypothèse qu’ils étaient le résultat d’un piratage de Hotmail ou d’une attaque massive de phishing qui avait incité les utilisateurs à divulguer leurs informations de connexion.
Comptes avec des domaines de @hotmail.com , @msn.com et @live.com ont été inclus dans la liste.
Les représentants de Microsoft aux États-Unis n’ont pas été immédiatement en mesure de confirmer le compte de Neowin ni de répondre à des questions, notamment sur la manière dont les noms d’utilisateur et les mots de passe ont été acquis. La BBC, cependant, a rapporté tôt lundi que Microsoft UK était au courant du rapport selon lequel des informations sur le compte étaient disponibles sur le Web, et a déclaré qu’elle « enquêtait activement sur la situation et prendrait les mesures appropriées le plus rapidement possible. »
Si le compte de Neowin est exact, l’attaque de piratage ou de phishing Hotmail serait l’une des plus importantes subies par un service de messagerie électronique basé sur le Web.
L’année dernière, un étudiant du Tennessee a été accusé d’avoir pénétré par effraction dans le compte Yahoo Mail de l’ancienne gouverneure de l’Alaska Sarah Palin à l’approche de l’élection présidentielle américaine. Palin, la candidate républicaine à la vice-présidence à l’époque, a perdu le contrôle de son compte personnel lorsque quelqu’un identifié uniquement comme « rubico » a réinitialisé son mot de passe après avoir deviné les réponses à plusieurs questions de sécurité.
David Kernell a été accusé d’un seul chef d’accès à un ordinateur sans autorisation par un grand jury fédéral en octobre dernier. L’affaire de Kernell est en cours.
Peu de temps après le piratage du compte Palin, Computerworld a confirmé que les mécanismes automatisés de réinitialisation des mots de passe utilisés par Hotmail, Yahoo Mail et Gmail de Google pouvaient être abusés par toute personne connaissant le nom d’utilisateur d’un compte et pouvant répondre à une seule question de sécurité.