Révélé par SEC Consult, le bug est activé lorsque les utilisateurs d'Outlook utilisent S/MIME pour chiffrer les messages et pour autant qu'ils les aient formatés en texte brut, précise mercredi The Register.
Lorsqu'il est transmis, le logiciel signale que le texte a été remis sous forme cryptée et apparaît ainsi dans le dossier "envoyé". Mais en pièce jointe de cette version cryptée se trouve une version totalement lisible en texte clair.
Différences selon la configuration
En utilisant la messagerie Outlook via Exchange, le texte en clair n'est lisible que par le destinataire du mail. En revanche, en l'utilisant via SMTP, tous les serveurs activés entre l'expéditeur et le destinataire ont potentiellement accès à cette version non cryptée.
Signalée en mai par SEC Consult, cette faille de sécurité a été corrigée dans la dernière mise à jour d'Outlook publiée le 10 octobre, annonce The Register.
vkiss