Emails, contacts et mots de passe - Oh My ! Nouvelle surenchère d'Outlook avec Microsoft

Lorsque vous utilisez Outlook, vos données sensibles peuvent ne pas rester sur votre machine, mais être envoyées aux serveurs de Microsoft.

2023-11-15
Outlook shares your email addresses and passwords with Microsoft - a huge security risk!
La dernière version d'Outlook, le mastodonte de la messagerie électronique de Microsoft, est sur le point d'être publiée et inquiète les experts en sécurité. Outlook, incontournable dans les entreprises depuis des décennies, est devenu plus exigeant en ce qui concerne les données qu'il recueille auprès de ses utilisateurs. La dernière mise à jour ne change pas la donne. La nouvelle version d'Outlook partagera non seulement le contenu non crypté de votre boîte aux lettres, de vos listes de contacts et des événements de votre calendrier, mais aussi des informations de connexion sensibles avec les serveurs de Microsoft aux États-Unis.

MS Outlook pourrait partager vos mots de passe

Les avertissements concernant le partage par Outlook de vos mots de passe et d'autres informations sensibles ont dépassé les utilisateurs d'Internet les plus soucieux de leur vie privée. Le commissaire fédéral allemand à la protection des données et à la liberté d'information, Ulrich Kelber, soumettra dans le courant de la semaine ces propositions de modification à l'examen d'autres organisations de protection des données de l'Union européenne.

Qu'est-ce qui se passe sous le capot et qui constitue une menace pour notre vie privée et notre sécurité en ligne ?

Comment MS Outlook partage les données

Le nouveau MS Outlook n'est pas le client de messagerie local que nous connaissions auparavant. La nouvelle version sert de passerelle vers l'environnement en nuage de Microsoft. Pour que vos courriels provenant de fournisseurs de messagerie n'appartenant pas à Microsoft puissent être synchronisés avec vos appareils, Microsoft demandera et stockera sur ses serveurs vos identifiants IMAP et SMTP pour chaque compte de messagerie.

Lors de l'ajout d'un compte dans le nouvel Outlook, les utilisateurs sont accueillis par un avertissement quelque peu intimidant concernant le partage de leurs informations. Le message indique que pour connecter un compte IMAP, Outlook doit synchroniser les courriels avec le nuage Microsoft. Bien que les contacts et les événements existants ne soient pas partagés avec Microsoft, tous les nouveaux ajouts que vous ferez dans Outlook seront également stockés dans le nuage de Microsoft.

Cela peut même inclure vos identifiants de connexion, comme les mots de passe, ce qui met la clé d'accès à votre vie en ligne à la disposition du géant américain de la technologie.

Non seulement vos identifiants de connexion sont partagés entre Outlook et les serveurs de Microsoft, mais aussi les futurs contacts ou événements de calendrier que vous pourriez créer dans l'application.

Mais le transfert de ces données sera bien entendu crypté en toute sécurité, n'est-ce pas ?

Pas tout à fait. Bien qu'elles soient envoyées aux serveurs de Microsoft avec la protection TLS, les données sont envoyées en texte clair. Le magazine technologique allemand c't a effectué un test en configurant une nouvelle connexion IMAP/SMTP et a publié l'image terrifiante suivante de ses résultats :

Screenshot of the code: Outlook shares your data not encrypted with the Microsoft cloud.

L'équipe de Heise.de a contacté Microsoft pour obtenir des commentaires sur la sécurité de OUtlook à la suite de ces changements, mais pour l'instant, aucune réponse n'a été reçue du campus de Redmond, WA.

Pourquoi s'alarmer ?

Outre le fait que l'envoi de mots de passe en texte clair est une très mauvaise idée et la pire des sécurités possibles, quelles autres menaces peuvent être posées par la synchronisation de tous vos courriels, événements de votre calendrier et contacts sur les serveurs de Microsoft ?

Il s'agit d'une question de confiance. Microsoft est une société américaine et relève de la juridiction des États-Unis. Son degré de coopération avec les forces de l'ordre et les services de renseignement est inconnu, mais il existe déjà des preuves que les grandes entreprises technologiques sont désireuses de s'acoquiner avec les agences gouvernementales.

Au début des années 2000, AT&T a construit et exploité une salle d'interception des télécommunications pour la NSA dans ses locaux, connue sous le nom de salle 641A.

Door of room 641A at AT&T Voici la porte de la salle 641A d'AT&T où la NSA a intercepté des données de communication.

Nous ne savons pas si Microsoft agit de la même manière, mais en l'absence de lois strictes sur la protection de la vie privée et de chiffrement de bout en bout, nous ne pouvons pas être sûrs que nos données sont en sécurité.

Au-delà de la menace de la surveillance par les États-nations, nous ne savons pas dans quelle mesure Microsoft peut travailler avec des courtiers en données pour collecter et vendre les données des utilisateurs. Aux États-Unis d'Amérique, la doctrine des tiers déclare que dans le cas des fournisseurs de services Internet, des banques, des institutions financières et des fournisseurs de services de messagerie électronique, les clients n'ont "aucune attente raisonnable en matière de vie privée".

Cette situation est inacceptable.

Ce que cela signifie pour les entreprises

Chaque entreprise a son propre cas d'utilisation et son propre champ d'application. Que signifie l'utilisation du nouvel Outlook pour l'utilisateur professionnel moyen ?

Avec une suite logicielle de longue date pour les entreprises, il est peu probable que tout le monde abandonne rapidement Microsoft Office en faveur d'une solution libre et gratuite comme LibreOffice. Certaines entreprises, en particulier celles qui traitent des informations sensibles, doivent se demander ce que ces changements signifient pour la vie privée de leurs clients.

Pour les entreprises et les organisations opérant au sein de l'UE, les lois sur la protection de la vie privée (GDPR) devront être examinées attentivement afin de déterminer si cette mise à jour est compatible avec les normes de l'UE en matière de protection de la vie privée. Nous verrons dans les jours à venir quel type de discussion résultera de la pression exercée par M. Kelber au sein du Parlement européen.

Pour les cabinets médicaux opérant aux États-Unis, la conformité à l'HIPAA sera une préoccupation majeure. En transmettant à Microsoft vos informations de connexion à votre messagerie électronique, vous lui donnez potentiellement accès à des informations sensibles sur vos patients. Si les mots de passe ont été partagés entre le compte de messagerie et d'autres services, la menace est encore plus grande pour les patients en cas de violation des données.

Le vol de propriété intellectuelle constitue également une menace intéressante. Si le contenu que vous stockez dans l'environnement en nuage de Microsoft contient des informations sensibles en matière de propriété intellectuelle, votre entreprise devra évaluer le risque posé par une violation ou une exposition des données de votre entreprise.

N'oubliez jamais qu'un serveur en nuage n'est que l'ordinateur de quelqu'un d'autre.

Si vos données ne sont pas cryptées de manière sécurisée en transit et au repos, elles ne sont pas non plus sécurisées sur ce serveur.

Passez à l'action !

Que peut faire l'internaute moyen face à ces changements envahissants ?

La première chose à faire est de ne plus choisir Outlook pour un usage personnel et de faire savoir à l'entreprise que nous nous opposons à ces pratiques en la frappant au portefeuille. Il existe de nombreuses solutions open source pour protéger vos courriels, vos événements de calendrier et vos listes de contacts. Tuta offre toutes ces fonctionnalités et plus encore, avec un cryptage complet de bout en bout de toutes vos données et nous n'avons jamais accès à vos identifiants de connexion.

Consultez également notre avis sur les services de messagerie privée pour savoir lequel répond le mieux à vos besoins.

L'étape suivante consiste à faire part de vos préoccupations à vos amis, à vos collègues et au cabinet de votre médecin. En faisant savoir qu'il existe d'excellentes alternatives aux grandes entreprises technologiques en matière de respect de la vie privée, nous pouvons tous nous battre pour faire de notre avenir numérique un espace plus sûr, plus sécurisé et plus libre.