Dans le monde de l’entreprise, le service de messagerie est souvent considéré comme une application critique. Des niveaux de sécurité sont donc requis aussi bien sur l’authentification pour l’accès que sur la protection des messages eux-mêmes. Les usages évoluent avec le cloud et la mobilité, les éditeurs proposent de plus en plus des services de messagerie en mode hébergé et disponibles sur les smartphones.
Microsoft n’échappe pas à cette règle en diversifiant sa solution Outlook.com sur des plateformes autres que Windows, dont Android. C’est cette dernière qui a fait l’objet d’une étude de la part de la société de conseil en sécurité, Include Security. Elle explique dans un blog que Microsoft a négligé certains éléments de sécurité, notamment sur le stockage des emails.
En premier lieu, l’application sauvegarde les messages et les pièces jointes dans un fichier local du smartphone. Pour les smartphones sous Android avec une version antérieure à 4.4, cette sauvegarde s’effectue sur une partition de la carte SD. Un tiers ou un malware peuvent, à condition d’avoir les permissions d’accès, récupérer et lire les pièces jointes qui ne sont pas chiffrées. Pour les versions 4.4 d’Android, la sauvegarde des pièces jointes se fait sur des partitions privées.
Le cabinet de conseil met également à mal le système d’authentification par code PIN de l’éditeur. Microsoft propose de sécuriser l’application avec un code composé de 8 caractères et plus. Pour les chercheurs, ce système ne protège pas et ne chiffre rien. « Il sert juste à sécuriser l’interface graphique », constate Include Security. Cette protection peut être contournée par l’activation du débogage USB du terminal qui permet d’avoir accès à la base de données en cache de la carte SD.
Include Security souligne que les faiblesses d’Outlook sous Android ne sont pas isolées. Une faille dans iOS a montré qu’Apple ne chiffre pas les pièces jointes des emails. Certains éditeurs d’OS proposent d’activer manuellement ce chiffrement dans les paramètres de sécurité du terminal. Une recommandation a minima que la société de sécurité conseille vivement aux utilisateurs.
A lire aussi :
Microsoft prépare une application Outlook Web Access pour Android
Microsoft intègre Skype à Outlook.com… pour tous
Un modèle GPT-4o mini rejoint le catalogue d'OpenAI. De la conception à l'évaluation, il a…
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…