Courriels, contacts, mots de passe - Oh ! Le nouvel Outlook partage tout avec Microsoft, mettant votre sécurité en péril

Le nouvel Outlook pour Windows de Microsoft partage toutes vos données avec ses serveurs - et jusqu'à 813 partenaires.

Outlook on Windows now shares your email addresses and passwords with Microsoft servers - a huge security risk!

La dernière version d'Outlook, le mastodonte de la messagerie électronique de Microsoft, a fait ses débuts en septembre 2023 et inquiète les experts en matière de sécurité et de protection de la vie privée : Le géant américain de la technologie collecte plus de données que jamais auprès de ses utilisateurs et les partage avec un réseau de partenaires de plus en plus étendu. Mais les problèmes de sécurité sont encore plus graves : Le nouveau Outlook pour Windows n'est plus un client de messagerie, mais une enveloppe pour le nuage 365 de Microsoft qui partage non seulement le contenu non crypté de votre boîte aux lettres, de vos listes de contacts et de vos événements de calendrier, mais aussi des informations de connexion sensibles telles que les mots de passe avec ses serveurs situés aux États-Unis.


MS Outlook partage-t-il vos mots de passe ?

Le site technologique allemand Heise a déclenché un scandale en novembre 2023 en révélant que le nouvel Outlook, qui remplace l’application de messagerie de Windows, partage les mots de passe des utilisateurs avec les serveurs américains de Microsoft.

Les autorités sont entrées en scène, car les avertissements concernant le partage des mots de passe et d’autres informations sensibles par le nouvel Outlook pour Windows ne pouvaient pas être ignorés en raison des graves conséquences pour la sécurité. Cette situation est particulièrement préoccupante, y compris pour la sécurité nationale, si l’on considère que la quasi-totalité des organisations gouvernementales, de l’Allemagne aux États-Unis, utilisent un environnement d’entreprise Windows. En conséquence, le commissaire fédéral allemand à la protection des données et à la liberté d’information, Ulrich Kelber, a déclaré sur Mastodon:

“Les rapports faisant état de soupçons de collecte de données par MS via Outlook sont alarmants. Nous demanderons aux commissaires irlandais à la protection des données, qui sont légalement responsables de cette question, de présenter un rapport lors de la réunion des autorités européennes de contrôle de la protection des données qui aura lieu mardi.”

Bien qu’à ce jour les autorités irlandaises n’aient fait aucune déclaration sur le problème de sécurité des mots de passe de messagerie de Microsoft, il convient d’examiner de plus près la manière dont le nouvel Outlook pour Windows partage vos mots de passe, ce que cela signifie pour votre sécurité et comment vous pouvez vous protéger contre la collecte trop agressive de données par Microsoft.

Examinons donc de plus près la mise à jour d’Outlook : que se passe-t-il sous le capot qui constitue une menace pour notre vie privée et notre sécurité en ligne ?

Collecte agressive de données

Avec sa dernière mise à jour, Outlook suit les traces des géants de la technologie de la Silicon Valley comme Google (Alphabet), Facebook (Meta) et Apple en collectant de plus en plus de données. De toute évidence, Microsoft a compris que les données sont le nouveau pétrole et qu’elle peut augmenter considérablement ses revenus en tirant parti de ce qu’elle possède déjà : de vastes quantités de données provenant de ses milliards de clients particuliers, professionnels et du secteur public dans le monde entier.

La collecte et l’analyse des données des utilisateurs sont devenues de plus en plus lucratives, en particulier depuis que Microsoft a investi massivement dans OpenAI, la société d’intelligence artificielle la plus en vue à l’heure actuelle.

En 2012, lorsque Google a modifié sa politique de confidentialité pour permettre aux grandes entreprises technologiques de collecter des données sur les utilisateurs, Microsoft a payé des annonces dans les journaux pour souligner ses propres protections de la vie privée par rapport à celles de Google.

Aujourd’hui, plus de dix ans plus tard, Microsoft a appris que la protection de la vie privée ne rapporte pas d’argent, mais que la collecte de données, le profilage des utilisateurs et les publicités personnalisées en rapportent. Il est triste de constater que des entreprises comme Microsoft et Apple, qui défendaient la protection de la vie privée (voir cette publicité pour l’iPhone datant de 2020), se sont désormais tournées vers la collecte de données pour accroître leurs revenus.

Dans le secteur de la technologie, il semble que tout ce qui compte, c’est l’augmentation de la valeur actionnariale. Et puisque dans un marché saturé comme celui des États-Unis et de l’Europe, si ces entreprises ne peuvent pas vendre plus d’iPhones ou plus d’ordinateurs Windows, elles doivent se tourner vers la collecte de données et les publicités personnalisées.

Un réseau de partenaires en pleine expansion

Il n’est donc pas surprenant que le nouvel Outlook pour Windows partage des données avec des centaines de tiers, comme l’indique sa politique de confidentialité.

Grâce au GDPR européen, Microsoft ne peut pas cacher aux utilisateurs européens l’information sur son partage excessif de données. Si vous êtes dans l’UE et que vous utilisez le nouveau Outlook pour Windows pour la première fois sur un nouveau PC, vous serez invité à fournir ces informations par le biais d’une demande de cookie :

Nous et 772 tiers traitons les données pour : stocker et/ou accéder aux informations sur votre appareil, développer et améliorer les produits, personnaliser les annonces et le contenu, mesurer les annonces et le contenu, obtenir des informations sur l’audience, obtenir des données de géolocalisation précises et identifier les utilisateurs par le biais de l’analyse de l’appareil. Certains tiers peuvent traiter vos données sur la base de leur intérêt légitime. Vous pouvez exercer votre droit de consentement ou d’opposition à tout moment en sélectionnant le lien Gérer les préférences ci-dessous, ou via les paramètres Outlook. En cliquant sur le bouton Accepter tout, vous acceptez l’utilisation de ces technologies et le traitement de vos données à ces fins lors de l’utilisation d’Outlook.

Screenshot of Outlook's new cookie warning: We and 772 third parties process data to: store and/or access information on your device, develop and improve products, personalize ads... Screenshot of Outlook's new cookie warning: We and 772 third parties process data to: store and/or access information on your device, develop and improve products, personalize ads...

Lorsque vous voyez cette demande, il est important de ne pas cliquer rapidement sur le bouton et de ne pas cliquer accidentellement sur “Accepter tout”. Si vous le faites, vous permettrez à Microsoft de partager un grand nombre de vos données personnelles avec son réseau croissant de partenaires à diverses fins, dont certaines pourraient effrayer toute personne soucieuse de sa vie privée. En acceptant tout, vous consentez à l’analyse et au suivi des données, y compris :

  • afficher des publicités personnalisées
  • Obtenir des informations sur l’audience
  • Stocker vos données de géolocalisation
  • Accéder aux données de votre appareil
  • vous identifier par le biais de l’analyse de votre appareil.

Encore une fois, lorsque vous voyez apparaître cette demande d’autorisation de partage de données, assurez-vous de cliquer sur Rejeter tout!

Tout d’abord, vous ne voudrez pas que Microsoft partage vos données personnelles sensibles avec des centaines d’annonceurs et de courtiers en données et, ensuite, son réseau de partenaires ne cesse de s’étendre. Le partage des données de Microsoft avec des tiers semble être une étape plutôt lucrative, puisque l’avertissement relatif aux cookies a été mis à jour pour indiquer que les données sont partagées avec “813 partenaires”. Qui sait combien d’autres partenaires mettront la main sur vos données à l’avenir si vous consentez à les partager ?

Screenshot of Outlook's new cookie warning has updated to 813 partners Screenshot of Outlook's new cookie warning has updated to 813 partners

Rejoindre le top 5 des annonceurs

Avec ce partage croissant de données, une chose est devenue évidente : Microsoft est en passe de devenir l’un des cinq principaux annonceurs en ligne.

Dès 2022, Rob Wilk, responsable de Microsoft Ads, a déclaré dans une interview que le géant américain de la technologie prévoyait de doubler son chiffre d’affaires publicitaire pour atteindre 20 milliards de dollars. Ce plan est en train de se concrétiser.

Avec la sortie du nouveau Outlook pour Windows en septembre 2023, Microsoft a franchi la dernière étape pour rejoindre les cinq premiers annonceurs : Alphabet (Google), Meta (Facebook), Apple, Amazon et maintenant Microsoft.

Auparavant, des personnes sur Reddit s’étaient déjà plaintes du fait qu’Outlook déguisait des publicités en courriels, tout comme Gmail qui affiche désormais des publicités directement dans votre boîte de réception:

Screenshot from an Outlook inbox with ads disguised as emails. Screenshot from an Outlook inbox with ads disguised as emails.

Même si ce n’est pas nouveau, la machine publicitaire va encore se renforcer avec le nouvel Outlook. Les publicités envoyées à la figure des utilisateurs d’Outlook concernent soit les propres produits de Microsoft, soit des produits tiers vendus par Microsoft à ses partenaires.

Si Microsoft vous permet d’utiliser Outlook gratuitement, elle vous rémunère en vendant votre temps et votre attention à des tiers. Cette pratique est similaire à celle d’autres grands services technologiques comme Google et Facebook, mais avec le nouvel Outlook, le partage des données prend une toute nouvelle dimension.

Outre le partage de données avec des tiers - que vous pouvez activement refuser - le nouvel Outlook partagera également des données sensibles, telles que les mots de passe, avec ses serveurs en nuage si vous utilisez la fonction de synchronisation de Microsoft. C’est d’autant plus inquiétant que cela présente un risque de sécurité important, qui pourrait conduire à des attaques de type “credential stuffing”, puisque tous vos mots de passe seront stockés sur un serveur central : celui de Microsoft.

Cette information a choqué les amateurs de sécurité et la suppression des comptes Outlook est devenue une tendance.

Mais avant de décider si vous pouvez encore faire confiance à Microsoft pour votre boîte aux lettres personnelle, faisons une plongée technique dans la façon dont Outlook partage vos données pour comprendre ce qui se passe exactement !

Problème de sécurité : Comment le nouvel Outlook partage les données

Le nouveau MS Outlook pour Windows n’est pas le client de messagerie local tel que nous le connaissions auparavant. La nouvelle version sert de passerelle vers l’environnement en nuage de Microsoft. Pour que vos courriels provenant de fournisseurs de messagerie n’appartenant pas à Microsoft puissent être synchronisés avec vos appareils, Microsoft demandera et stockera sur ses serveurs vos identifiants IMAP et SMTP pour chaque compte de messagerie.

Lors de l’ajout d’un compte dans le nouvel Outlook, les utilisateurs sont accueillis par un avertissement quelque peu intimidant concernant le partage de leurs informations. Le message indique que pour connecter un compte IMAP, Outlook doit synchroniser les courriels avec le nuage Microsoft. Bien que les contacts et les événements de calendrier existants ne puissent pas être partagés avec Microsoft, tous les nouveaux ajouts effectués dans Outlook seront également stockés dans le nuage de Microsoft.

En détail, le message affiché dans Outlook est le suivant :

“Que se passe-t-il lorsque je synchronise mon compte avec le nuage Microsoft ? La synchronisation de votre compte sur le nuage Microsoft signifie qu’une copie de votre courrier électronique, de votre calendrier et de vos contacts sera synchronisée entre votre fournisseur de courrier électronique et les centres de données de Microsoft. Le fait que les données de votre boîte aux lettres se trouvent dans le nuage Microsoft vous permet d’utiliser les nouvelles fonctionnalités du client Outlook (New Outlook for Windows, Outlook for i0S, Outlook for Android, Outlook.com ou Outlook for Mac) avec votre compte non Microsoft, tout comme avec vos comptes Microsoft”.

Screenshot of the Outlook sync message warning people that data is shared with the Microsoft cloud. Screenshot of the Outlook sync message warning people that data is shared with the Microsoft cloud.

Comme le précise l’avertissement, les données partagées peuvent même inclure vos identifiants de connexion, tels que les mots de passe, ce qui met les clés de votre vie numérique à la disposition du géant américain de la technologie. Avec le nouvel Outlook, Microsoft s’octroie des pouvoirs excessifs sur toutes les données de votre messagerie électronique connectée via IMAP. À tout moment, Microsoft peut scanner votre boîte aux lettres et partager des données sensibles avec des tiers, le tout à votre insu.

Non seulement vos identifiants de connexion et vos courriels sont partagés entre Outlook et les serveurs de Microsoft, mais aussi tous les futurs contacts ou événements de calendrier que vous pourriez créer dans l’application. En vous connectant au nouvel Outlook, vous donnez à Microsoft un accès illimité à votre compte de messagerie.

Comme l’indiquent les développeurs de XDA: Le nouveau client Outlook n’est plus un “client”, mais une enveloppe autour des services en nuage de Microsoft. Vos données, y compris vos mots de passe, ne sont plus stockées localement dans le client Outlook, mais sur les serveurs de Microsoft et récupérées localement.

Les données partagées sont-elles cryptées ?

En tant qu’experts en sécurité, nous nous attendons à ce que le partage de ces données soit bien entendu crypté de bout en bout. Toutefois, comme l’ont découvert des journalistes techniques allemands, ce n’est pas le cas avec le nouvel Outlook.

Alors que les données sont envoyées aux serveurs de Microsoft avec la protection TLS, elles sont envoyées en texte clair. Le magazine technologique allemand c’t de la maison d’édition Heise a effectué un test en configurant une nouvelle connexion IMAP/SMTP et a publié l’image terrifiante suivante de ses résultats :

Screenshot des Codes: Outlook teilt Ihre Daten unverschlüsselt mit der Microsoft-Cloud. Screenshot des Codes: Outlook teilt Ihre Daten unverschlüsselt mit der Microsoft-Cloud.

Capture d’écran du code : Outlook partage vos données non cryptées avec le nuage Microsoft.

L’équipe de Heise.de a contacté Microsoft pour obtenir des commentaires sur le grave problème de sécurité du nouvel Outlook au vu de ces résultats, mais aucune réponse n’a été reçue du campus de Redmond, WA.

Cela a été un véritable choc pour les experts informatiques de Heise. Si vous pensez la même chose, vous pouvez commencer à chercher un nouveau fournisseur de courrier électronique en consultant la comparaison entre Outlook et Gmail ou - ce qui est encore mieux pour votre vie privée et votre sécurité - la comparaison entre Outlook et Tuta Mail.

Pourquoi s’alarmer ?

Outre le fait que l’envoi de mots de passe à un serveur central est une très mauvaise idée et la pire des sécurités possibles, quelles sont les menaces que peut représenter la synchronisation de tous vos courriels, événements de calendrier et contacts sur les serveurs de Microsoft ?

Tout d’abord, il s’agit d’une question de confiance. Microsoft est une société américaine et relève de la juridiction des États-Unis. Son degré de coopération avec les forces de l’ordre et les services de renseignement est inconnu, mais il existe déjà des preuves que les grandes entreprises technologiques sont désireuses de s’acoquiner avec les agences gouvernementales. Cette situation est extrêmement préoccupante dans la mesure où les États-Unis font partie de l’Alliance des cinq yeux.

Les États-Unis ont connu plusieurs scandales dans lesquels de grandes entreprises technologiques ont partagé trop volontiers des données sensibles d’utilisateurs avec les autorités. Par exemple, en 2016, nous avons été choqués d’apprendre que Yahoo avait donné accès à tous ses comptes de messagerie aux autorités américaines. Au début des années 2000, AT&T aurait construit et exploité une salle d’interception des télécommunications pour la NSA dans ses locaux connus sous le nom de “Room 641A” (salle 641A).

Door of room 641A at AT&T Door of room 641A at AT&T Voici la porte de la salle 641A d’AT&T où la NSA a intercepté des données de communication.

Nous ne savons pas si Microsoft agit de la même manière, mais en l’absence de lois strictes sur la protection de la vie privée et de cryptage de bout en bout, personne ne peut être sûr que les données sensibles des clients sont en sécurité sur les serveurs américains de Microsoft.

Au-delà de la menace de la surveillance par les États-nations, nous ne savons pas non plus dans quelle mesure Microsoft travaille avec des courtiers en données pour collecter et vendre les données des utilisateurs. Mais à en juger par la nouvelle fenêtre contextuelle de la politique de confidentialité qui s’affiche pour les clients européens dans le nouvel Outlook pour Windows, le partage des données est très répandu et va encore s’intensifier.

Aux États-Unis d’Amérique, il convient également de se pencher sur la doctrine des tiers. Selon cette doctrine, si vous soumettez volontairement des informations à des tiers, par exemple à des fournisseurs de courrier électronique, vous ne pouvez avoir “aucune attente raisonnable en matière de respect de la vie privée” pour ce qui est de ces informations. Étant donné qu’il n’existe pas aux États-Unis de législation similaire au GDPR européen - qui garantit aux Européens que leurs données personnelles doivent être protégées par les entreprises technologiques - les données que les personnes partagent avec Microsoft ne sont pas à l’abri des autorités américaines. Elles peuvent même être obtenues sans mandat légal ou autre contrôle judiciaire.

Cette situation est inacceptable.

Ce que cela signifie pour les entreprises

Chaque entreprise a son propre cas d’utilisation et ses propres exigences en matière de sécurité. Que signifie l’utilisation du nouvel Outlook pour les entreprises ?

Les entreprises disposant depuis longtemps d’une suite logicielle, il est peu probable qu’elles abandonnent rapidement Microsoft Office au profit d’une solution libre et gratuite telle que LibreOffice. Certaines entreprises, en particulier celles qui traitent des informations sensibles, doivent se demander ce que ces changements dans Outlook de Microsoft signifient pour la vie privée de leurs clients.

Pour les entreprises et les organisations opérant au sein de l’UE, les lois sur la protection de la vie privée GDPR devront être soigneusement examinées pour déterminer si cette mise à jour est compatible avec les normes de l’UE en matière de protection de la vie privée.

Pour les cabinets médicaux opérant aux États-Unis, la conformité à l’HIPAA sera une préoccupation majeure. En communiquant à Microsoft vos informations de connexion au courrier électronique, vous donnez au géant de la technologie un accès potentiel à des informations sensibles sur les patients.

Le vol de propriété intellectuelle constitue également une menace intéressante : si le contenu que vous stockez dans l’environnement en nuage de Microsoft contient des informations sensibles en matière de propriété intellectuelle, votre entreprise devra évaluer le risque posé par une violation ou une exposition des données de votre entreprise.

En résumé, nous devons nous demander si les courriels Outlook sont privés et sécurisés. Microsoft vante les mérites de diverses fonctions de cryptage pour protéger vos courriels Outlook, en particulier pour les clients professionnels, mais avec cette nouvelle mise à jour, Outlook ne peut plus être considéré comme privé et sécurisé.

N’oubliez jamais qu’un serveur en nuage n’est que l’ordinateur de quelqu’un d’autre. Si vos données ne sont pas cryptées de bout en bout en transit et au repos, elles ne sont pas non plus sécurisées sur ce serveur.

Activer la protection de la vie privée

Que peut faire l’internaute moyen face à ces changements invasifs qui affectent non seulement sa sécurité mais aussi sa vie privée ?

La première chose à faire est de ne plus choisir Outlook pour un usage personnel. Il existe de nombreuses solutions open source pour protéger vos courriels, votre calendrier et vos listes de contacts.

Tuta Mail fournit toutes ces fonctionnalités et plus encore avec un cryptage complet de bout en bout de toutes vos données et nous n’avons jamais accès à vos identifiants de connexion.

Tuta Mail vous permet d’utiliser un nombre illimité d’adresses électroniques avec votre propre domaine personnalisé, alors qu’Outlook ne prend plus en charge les domaines personnalisés pour les utilisateurs privés.

L’étape suivante consisterait à faire part de ces préoccupations à vos amis, à vos collègues de travail et au cabinet de votre médecin. En faisant savoir qu’il existe d’excellentes alternatives aux Big Tech en matière de respect de la vie privée, nous pouvons tous nous battre pour faire de notre avenir numérique un espace plus sûr, plus sécurisé et plus libre.

Chez Tuta, nous nous engageons à construire un meilleur Internet - un Internet où votre vie privée est protégée par défaut.

Inscrivez-vous pour un compte email privé et sécurisé dès maintenant.