Modifié le 12 octobre 2017

Quand Outlook envoie une copie en clair en même temps qu'un mail crypté

Une capture d'écran du bug constaté par SEC Consult.
Une capture d'écran du bug constaté par SEC Consult. [Jaap Arriens - AFP / SEC Consult]
Des chercheurs ont trouvé une faille dans le logiciel Microsoft Outlook qui provoque l'envoi des messages cryptés avec leur version non cryptée attachée, révèle mercredi The Register.

Révélé par SEC Consult, le bug est activé lorsque les utilisateurs d'Outlook utilisent S/MIME pour chiffrer les messages et pour autant qu'ils les aient formatés en texte brut, précise mercredi The Register.

Lorsqu'il est transmis, le logiciel signale que le texte a été remis sous forme cryptée et apparaît ainsi dans le dossier "envoyé". Mais en pièce jointe de cette version cryptée se trouve une version totalement lisible en texte clair.

Différences selon la configuration

En utilisant la messagerie Outlook via Exchange, le texte en clair n'est lisible que par le destinataire du mail. En revanche, en l'utilisant via SMTP, tous les serveurs activés entre l'expéditeur et le destinataire ont potentiellement accès à cette version non cryptée.

Signalée en mai par SEC Consult, cette faille de sécurité a été corrigée dans la dernière mise à jour d'Outlook publiée le 10 octobre, annonce The Register.

vkiss

Publié le 12 octobre 2017 - Modifié le 12 octobre 2017