Dans le monde de l’entreprise, le service de messagerie est souvent considéré comme une application critique. Des niveaux de sécurité sont donc requis aussi bien sur l’authentification pour l’accès que sur la protection des messages eux-mêmes. Les usages évoluent avec le cloud et la mobilité, les éditeurs proposent de plus en plus des services de messagerie en mode hébergé et disponibles sur les smartphones.
Microsoft n’échappe pas à cette règle en diversifiant sa solution Outlook.com sur des plateformes autres que Windows, dont Android. C’est cette dernière qui a fait l’objet d’une étude de la part de la société de conseil en sécurité, Include Security. Elle explique dans un blog que Microsoft a négligé certains éléments de sécurité, notamment sur le stockage des emails.
En premier lieu, l’application sauvegarde les messages et les pièces jointes dans un fichier local du smartphone. Pour les smartphones sous Android avec une version antérieure à 4.4, cette sauvegarde s’effectue sur une partition de la carte SD. Un tiers ou un malware peuvent, à condition d’avoir les permissions d’accès, récupérer et lire les pièces jointes qui ne sont pas chiffrées. Pour les versions 4.4 d’Android, la sauvegarde des pièces jointes se fait sur des partitions privées.
Le cabinet de conseil met également à mal le système d’authentification par code PIN de l’éditeur. Microsoft propose de sécuriser l’application avec un code composé de 8 caractères et plus. Pour les chercheurs, ce système ne protège pas et ne chiffre rien. « Il sert juste à sécuriser l’interface graphique », constate Include Security. Cette protection peut être contournée par l’activation du débogage USB du terminal qui permet d’avoir accès à la base de données en cache de la carte SD.
Include Security souligne que les faiblesses d’Outlook sous Android ne sont pas isolées. Une faille dans iOS a montré qu’Apple ne chiffre pas les pièces jointes des emails. Certains éditeurs d’OS proposent d’activer manuellement ce chiffrement dans les paramètres de sécurité du terminal. Une recommandation a minima que la société de sécurité conseille vivement aux utilisateurs.
A lire aussi :
Microsoft prépare une application Outlook Web Access pour Android
Microsoft intègre Skype à Outlook.com… pour tous
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.