Microsoft shuts off HTTPS in Hotmail for over a dozen countries

[Al-khiyal]

Microsoft shuts off HTTPS in Hotmail for over a dozen countries

Microsoft appears to have turned off the always-use-HTTPS option in Hotmail for users in more than a dozen countries, including Bahrain, Morocco, Algeria, Syria, Sudan, Iran, Lebanon, Jordan, Congo, Myanmar, Nigeria, Kazakhstan, Uzbekistan, Turkmenistan, Tajikistan, and Kyrgyzstan. Hotmail users who have set their location to any of these countries receive the following error message when they attempt to turn on the always-use-HTTPS feature in order to read their mail securely:

Your Windows Live ID can't use HTTPS automatically because this feature is not available for your account type.

Microsoft debuted the always-use-HTTPS feature for Hotmail in December of 2010, in order to give users the option of always encrypting their webmail traffic and protecting their sensitive communications from malicious hackers using tools such as Firesheep, and hostile governments eavesdropping on journalists and activists. For Microsoft to take such an enormous step backwards — undermining the security of Hotmail users in countries where freedom of expression is under attack and secure communication is especially important — is deeply disturbing. We hope that this counterproductive and potentially dangerous move is merely an error that Microsoft will swiftly correct.

The good news is that the fix is very easy. Hotmail users in the affected countries can turn the always-use-HTTPS feature back on by changing the country in their profile to any of the countries in which this feature has not been disabled, such as the United States, Germany, France, Israel, or Turkey. Hotmail users who browse the web with Firefox may force the use of HTTPS by default — while using any Hotmail location setting — by installing the HTTPS Everywhere Firefox plug-in.

[Al-khiyal]

Microsoft restores Hotmail encryption and apologizes to users

March 26, 2011 -- Microsoft has restored the continuous SSL encryption capability to Hotmail users around the world after users in countries such as Bahrain, Iran, Syria and Uzbekistan found themselves unable to use the option. Microsoft said that "we do not intentionally limit support by region or geography and this issue was not restricted to any specific region of the world" and apologised for the inconvenience in a Solution Center entry. On Friday, in a report on its deeplinks blog, the Electronic Frontier Foundation (EFF) had reported that Microsoft had suspended its continuous SSL encryption feature ("always use HTTPS") for its free Hotmail service in a number of countries. Hotmail users whose profile gave Bahrain, Morocco, Algeria, Syria, Sudan, Iran, Lebanon, Jordan, Congo, Myanmar, Nigeria, Kazakhstan, Uzbekistan, Turkmenistan, Tajikistan or Kyrgyzstan as the user's home country only saw the error message "Your Windows Live ID can't use HTTPS automatically because this feature is not available for your account type", according to EFF activist Eva Galperin. The problem was initially spotted by a computer engineering student in currently tumultuous Syria. The student posted an image of the denial message. The EFF was particularly worried about the apparent move as it affected countries whose governments have little regard for the freedom of expression, and called for a speedy restoration of the service. According to Microsoft, users in the Bahamas, Cayman Islands and Fiji were also affected by the bug. The bug apparently removed the functionality on the basis of what country the user said they were in, not based on the IP address they were coming from. Users could work around the problem by changing their country setting to an unblocked country. Microsoft has not disclosed what caused the bug. The company only introduced the always-use-HTTPS feature for Hotmail in November 2010; before this time, only the log-in procedure had been SSL-encrypted. On unsecured Wi-Fi networks, this allowed attackers using such tools as Firesheep to read users' emails or even gain account access by copying cookies.

[Al-khiyal]

Sécurisation de Hotmail dans les pays touchés par les révoltes, dont l’Algérie :
Microsoft plaide le bug et s’excuse auprès des utilisateurs

Lundi 28 Mars 2011 -- La protection des données sur Internet dans les pays arabes touchés par les révoltes démocratiques est une nouvelle fois en cause. En l’occurrence, c’est la sécurisation des comptes de messagerie Hotmail du géant Microsoft qui est concernée. Des données sur ce webmail auraient pu être facilement accessibles dans certains pays du Moyen Orient et de l’Afrique du nord, dont l’Algérie. Et pour cause : le protocole de sécurité HTTPS, qui garantit un accès sécurisé à hotmail, a été désactivé. Cette désactivation a-t-elle été volontaire ? Pour l'Electronic Frontier Foundation (EFF), la réponse est peut‑être. Vendredi, elle a laissé entendre que Microsoft avait intentionnellement désactivé cet accès sécurisé à Hotmail dans plus d'une douzaine de pays dont le Liban, la Syrie, Bahreïn, le Soudan, l’Iran, l’Algérie,le Maroc... La EFF a parlé d’un «dangereux retour en arrière dans des pays où la liberté d'expression est attaquée et où une communication sécurisée revêt une importance toute particulière». Le HTTPS permet de crypter la session à l'aide d'un certificat électronique pour établir une connexion sécurisée qui empêche l'interception des données par un tiers. Sa désactivation a rendu ces données facilement accessibles. Mais Microsoft n’est pas du même avis. Après avoir solutionné le problème, Microsoft a plaidé ce lundi 28 mars un bug dont la nature n’a pas été identifiée. Pour se défendre, Microsoft a précisé que ce bug avait également touché des «utilisateurs aux Bahamas, aux Îles Caïman et Fidji». « La sécurité des comptes est une priorité absolue pour Hotmail et notre prise en charge de HTTPS est mondiale. Nous n'avons pas intentionnellement limité le support en fonction d'une région géographique et ce problème n'a pas été limité à une région spécifique du monde», a précisé le groupe américain. Fin 2010 et début 2011, les gouvernements de plusieurs pays arabes touchés par les révoltes populaires, dont l’Algérie et la Tunisie, ont été soupçonnés d’avoir cherché à s’introduire dans les comptes Facebook de leurs citoyens. Contrairement à Facebook, Microsoft possède des intérêts économiques dans les pays arabes. En Algérie, il possède une filiale.