La fonction "Attach Photo" de Windows Live Hotmail désactivée suite à un problème de sécurité, s'agirait-il d'une faille ActiveX ?

Des utilisateurs de Windows Live Hotmail ont contacté Microsoft pour lui faire part de leur frustration depuis qu'une fonction très populaire a été retirée de la messagerie en ligne, car elle ouvrait des brèches de sécurité.

La fonction en question, appelée "Attach Photo" permettait d'ajouter directement des images (photos ou graphiques) dans des e-mails et de les éditer facilement en y ajoutant par exemple du texte. Les visuels étaient automatiquement compressés par Hotmail ce qui permettait également aux utilisateurs d'inclure plus de photos dans leurs messages.

Cette fonction est à ne pas confondre avec l'attachement de pièces jointes qui fonctionne toujours (les photos sont incluses dans les messages sans compression ni possibilité d'être éditées au préalable).

Carl Creed, administrateur anglais à la retraite, ainsi que d'autres utilisateurs, ont remarqué la disparition de l'outil il y a environ trois semaines. Ils se sont plaint auprès de Microsoft de sa disparition, et surtout de l'absence d'annonce officielle de la supression de l'application (ce qui leur aurait évité les heures passées à tenter de résoudre un hypothétique bug).

Microsoft a répondu avant-hier avoir supprimé Attach Photo après avoir repéré une incompatibilité avec Internet Explorer qui provoquait des failles de sécurité avec certains uploads. L'entreprise ne s'excuse cependant pas de n'avoir prévenu aucun de ses utilisateurs de cette modification, et ajoute simplement espèrer remettre la fonction en service fin septembre.

Aucune information complémentaire n'a filtré sur cette fameuse "faille" car cela pourrait "compromettre la sécurité de nos services" d'après un porte-parole de Microsoft, qui poursuit : "Les pirates se concentrent sur les vulnérabilités des sites populaires afin d'atteindre le plus de gens possible, et manipuler un site comme le nôtre via une attaque serait une sacré victoire pour un web-criminel. Désactiver la fonction vulnérable était la meilleure chose à faire dans l'attente de la mise en place d'une solution".

Bien que très apprécié, Attach Photo avait été bousculé par cerains problèmes. En octobre 2007, des utilisateurs se plaignaient d'être parfois bloqués dans son utilisation par les paramètres de sécurité d'IE 7. En mai 2008, un internaute fréquentant des forums d'aide avait déjà signalé la désactivation (ponctuelle) impromptue de la fonctionnalité . Un membre du staff technique de Microsoft lui avait alors répondu que cela venait de l'incompatibilité d'Attach Photo avec la version 64-bits de Vista.

Source : Le topic des plaignants (sur le forum dédié au support de WLH) et la réponse officielle de Microsoft (sur son blog)

Les soucis rencontrés pourraient-ils venir d'une vulnérabilité dans le contrôle ActiveX d'Attach Photo ?