« S’il vous plaît, n’installez pas cette application, et au cas où vous l’auriez déjà fait pour votre messagerie de travail, désinstallez-là immédiatement et changez votre mot de passe. » Le Parlement européen a décidé, vendredi 6 février, de bloquer l’accès aux versions mobiles pour iOS et Android du client de messagerie Microsoft Outlook, a rapporté IDG News Services sur la base d’un email envoyé par la direction générale de l’innovation et du support technologique (DG ITEC) de l’institution. Microsoft a livré Outlook pour iOS et Android le 29 janvier dernier.
Les services informatiques de Bruxelles reprochent à Outlook d’envoyer le mot de passe des comptes de messageries des utilisateurs aux serveurs de Microsoft sans autorisation et de stocker emails et pièces jointes dans un service Cloud sur lequel le Parlement n’a aucun contrôle. Un fonctionnement propre aux applications de messagerie à l’origine développées par Acompli racheté par Microsoft en décembre dernier et qui s’appuient, dans le cas d’Outlook, sur Exchange. Sur sa page décrivant la sécurité de son système, la start-up indique que les identifiants des utilisateurs sont doublement chiffrés avec une clé unique côté serveur et une autre, unique également, côté terminal. « En conséquence, les informations d’identification ne peuvent être débloquées qu’à travers la collaboration simultanée du serveur et de l’application lors de son exécution. »
Un mode sécurisé qui tend à garantir la confidentialité du mot de passe mais qui ne convainc visiblement pas la division informatique du Parlement européen en regard d’applications au fonctionnement différent qui, à l’image de Gmail, s’appuient sur un mécanisme d’authentification OAuth qui ne nécessite pas le stockage du mot de passe par le fournisseur du service. La DG ITEC n’est pas le seul organisme à exprimer sa méfiance à l’égard d’Outlook. Les universités de Madison (dans le Wisconsin aux Etats-Unis) et de Delft (aux Pays-Bas) ont également bloqué le service de messagerie mobile de Microsoft après les révélations, fin janvier, d’un chercheur allemand.
Rene Winkelmeyer reproche à Microsoft ses mauvaises pratiques en matière de sécurité et démontre qu’Outlook mobile stocke bel et bien les identifiants personnels dans son Cloud à des fins de notifications et synchronisation de ses services. « Le seul conseil que je puisse vous donner pour le moment est : empêchez l’application d’accéder à vos serveurs de messagerie d’entreprise », indique le responsable développement pour la société Midpoints et IBM Champion. Un conseil qu’a visiblement décidé de suivre Bruxelles.
Lire également
Outlook victime d’une attaque de l’homme du milieu en Chine
Les mails d’Outlook pour Android peu sécurisés
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…