La sécurité douteuse d'Outlook pour Android
Dans le monde de l'entreprise, le service de messagerie est souvent considéré comme une application critique. Des niveaux de sécurité sont donc requis aussi bien sur l'authentification pour l'accès que sur la protection des messages eux-mêmes. Les usages évoluent avec le cloud et la mobilité, les éditeurs proposent de plus en plus des services de messagerie en mode hébergé et disponibles sur les smartphones.
Microsoft n'échappe pas à cette règle en diversifiant sa solution Outlook.com sur des plateformes autres que Windows, dont Android. C'est cette dernière qui a fait l'objet d'une étude de la part de la société de conseil en sécurité, Include Security. Elle explique dans un blog que Microsoft a négligé certains éléments de sécurité, notamment sur le stockage des emails.
Des pièces jointes non chiffrées et stockées en local
En premier lieu, l'application sauvegarde les messages et les pièces jointes dans un fichier local du smartphone. Pour les smartphones sous Android avec une version antérieure à 4.4, cette sauvegarde s'effectue sur une partition de la carte SD. Un tiers ou un malware peuvent, à condition d'avoir les permissions d'accès, récupérer et lire les pièces jointes qui ne sont pas chiffrées. Pour les versions 4.4 d'Android, la sauvegarde des pièces jointes se fait sur des partitions privées.
Le cabinet de conseil met également à mal le système d'authentification par code PIN de l'éditeur. Microsoft propose de sécuriser l'application avec un code composé de 8 caractères et plus. Pour les chercheurs, ce système ne protège pas et ne chiffre rien. « Il sert juste à sécuriser l'interface graphique », constate Include Security. Cette protection peut être contournée par l'activation du débogage USB du terminal qui permet d'avoir accès à la base de données en cache de la carte SD.
Include Security souligne que les faiblesses d'Outlook sous Android ne sont pas isolées. Une faille dans iOS a montré qu'Apple ne chiffre pas les pièces jointes des emails. Certains éditeurs d'OS proposent d'activer manuellement ce chiffrement dans les paramètres de sécurité du terminal. Une recommandation a minima que la société de sécurité conseille vivement aux utilisateurs.
A lire aussi :
Microsoft prépare une application Outlook Web Access pour Android
Sur le même thème
Voir tous les articles Open source