Dans le monde de l’entreprise, le service de messagerie est souvent considéré comme une application critique. Des niveaux de sécurité sont donc requis aussi bien sur l’authentification pour l’accès que sur la protection des messages eux-mêmes. Les usages évoluent avec le cloud et la mobilité, les éditeurs proposent de plus en plus des services de messagerie en mode hébergé et disponibles sur les smartphones.
Microsoft n’échappe pas à cette règle en diversifiant sa solution Outlook.com sur des plateformes autres que Windows, dont Android. C’est cette dernière qui a fait l’objet d’une étude de la part de la société de conseil en sécurité, Include Security. Elle explique dans un blog que Microsoft a négligé certains éléments de sécurité, notamment sur le stockage des emails.
En premier lieu, l’application sauvegarde les messages et les pièces jointes dans un fichier local du smartphone. Pour les smartphones sous Android avec une version antérieure à 4.4, cette sauvegarde s’effectue sur une partition de la carte SD. Un tiers ou un malware peuvent, à condition d’avoir les permissions d’accès, récupérer et lire les pièces jointes qui ne sont pas chiffrées. Pour les versions 4.4 d’Android, la sauvegarde des pièces jointes se fait sur des partitions privées.
Le cabinet de conseil met également à mal le système d’authentification par code PIN de l’éditeur. Microsoft propose de sécuriser l’application avec un code composé de 8 caractères et plus. Pour les chercheurs, ce système ne protège pas et ne chiffre rien. « Il sert juste à sécuriser l’interface graphique », constate Include Security. Cette protection peut être contournée par l’activation du débogage USB du terminal qui permet d’avoir accès à la base de données en cache de la carte SD.
Include Security souligne que les faiblesses d’Outlook sous Android ne sont pas isolées. Une faille dans iOS a montré qu’Apple ne chiffre pas les pièces jointes des emails. Certains éditeurs d’OS proposent d’activer manuellement ce chiffrement dans les paramètres de sécurité du terminal. Une recommandation a minima que la société de sécurité conseille vivement aux utilisateurs.
A lire aussi :
Microsoft prépare une application Outlook Web Access pour Android
Microsoft intègre Skype à Outlook.com… pour tous
La Commission européenne serait sur le point d'approuver la proposition d'Apple visant à fournir à…
Le Premier ministre a précisé les usages de l'IA dans les services de l'administration et…
Sous la marque Horizon OS, Meta va ouvrir le système d'exploitation des casques Quest à…
Après avoir essaimé dans 145 pays, la communauté de femmes de la tech Women Who…
Les voix du CISPE et des associations d'utilisateurs s'accordent face à Broadcom et à ses…
Bonnes pratiques, indicateurs, prestataires... Aperçu de quelques arbitrages que le comité d'organisation de Paris 2024…