« S’il vous plaît, n’installez pas cette application, et au cas où vous l’auriez déjà fait pour votre messagerie de travail, désinstallez-là immédiatement et changez votre mot de passe. » Le Parlement européen a décidé, vendredi 6 février, de bloquer l’accès aux versions mobiles pour iOS et Android du client de messagerie Microsoft Outlook, a rapporté IDG News Services sur la base d’un email envoyé par la direction générale de l’innovation et du support technologique (DG ITEC) de l’institution. Microsoft a livré Outlook pour iOS et Android le 29 janvier dernier.
Les services informatiques de Bruxelles reprochent à Outlook d’envoyer le mot de passe des comptes de messageries des utilisateurs aux serveurs de Microsoft sans autorisation et de stocker emails et pièces jointes dans un service Cloud sur lequel le Parlement n’a aucun contrôle. Un fonctionnement propre aux applications de messagerie à l’origine développées par Acompli racheté par Microsoft en décembre dernier et qui s’appuient, dans le cas d’Outlook, sur Exchange. Sur sa page décrivant la sécurité de son système, la start-up indique que les identifiants des utilisateurs sont doublement chiffrés avec une clé unique côté serveur et une autre, unique également, côté terminal. « En conséquence, les informations d’identification ne peuvent être débloquées qu’à travers la collaboration simultanée du serveur et de l’application lors de son exécution. »
Un mode sécurisé qui tend à garantir la confidentialité du mot de passe mais qui ne convainc visiblement pas la division informatique du Parlement européen en regard d’applications au fonctionnement différent qui, à l’image de Gmail, s’appuient sur un mécanisme d’authentification OAuth qui ne nécessite pas le stockage du mot de passe par le fournisseur du service. La DG ITEC n’est pas le seul organisme à exprimer sa méfiance à l’égard d’Outlook. Les universités de Madison (dans le Wisconsin aux Etats-Unis) et de Delft (aux Pays-Bas) ont également bloqué le service de messagerie mobile de Microsoft après les révélations, fin janvier, d’un chercheur allemand.
Rene Winkelmeyer reproche à Microsoft ses mauvaises pratiques en matière de sécurité et démontre qu’Outlook mobile stocke bel et bien les identifiants personnels dans son Cloud à des fins de notifications et synchronisation de ses services. « Le seul conseil que je puisse vous donner pour le moment est : empêchez l’application d’accéder à vos serveurs de messagerie d’entreprise », indique le responsable développement pour la société Midpoints et IBM Champion. Un conseil qu’a visiblement décidé de suivre Bruxelles.
Lire également
Outlook victime d’une attaque de l’homme du milieu en Chine
Les mails d’Outlook pour Android peu sécurisés
Les banques et les créanciers obligataires d'Atos ont trouvé un accord pour restructurer la dette…
Sur la feuille de route de Christophe Vannier, RSSI de Carrefour Banque, on trouve la…
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…