Les Webmail cachent plus des chausse-trappes que l’on pourrait imaginer. Le chercheur en sécurité Youko Pynnönen de la société finlandaise Klikki Oy vient de dévoiler des failles inhérentes au service de messagerie Yahoo. Une vulnérabilité permettait d’insérer dans un message du code malveillant qui était automatiquement exécuté dès l’ouverture par le destinataire. Elle a été corrigée depuis.
L’un des dangers de cette faille avait pour origine sa fonction. Le destinataire n’avait même pas besoin de cliquer sur un lien ou d’ouvrir un fichier joint. Concrètement, un message vérolé qui, une fois ouvert, était capable de lire toute la boîte email du destinataire et de renvoyer ces informations à un serveur, comme l’a démontré le chercheur de la société finlandaise.
Après avoir été notifié, Yahoo a rapidement apporté un correctif supprimant cette faille. De son côté, le chercheur a reçu une prime de 10 000 dollars, conformément au programme HackerOne Bug Bounty mis en place par le géant américain. En janvier dernier, il avait déjà trouvé une faille similaire, permettant l’exécution de code malveillant dans les emails Yahoo. Là encore, il avait obtenu 10 000 dollars de récompense.