Un bug de Microsoft Outlook permet à des pirates d'usurper l'identité de n'importe quel utilisateur d'Outlook. Un bug signalé par un chercheur en cybersécurité qui n'a pour l'heure, pas déclenché un correctif de la part de Microsoft.
Si vous utilisez le service de messagerie Outlook de Microsoft pour envoyer et recevoir vos mails, il va falloir faire preuve de prudence et de patience. L'entreprise est en effet confrontée à une faille de sécurité majeure. Vsevolod Kokorin, chercheur en cybersécurité chez SolidLab, plus connu sur X.com sous l'alias Slonser, a découvert un bug qui autorise quiconque à se faire passer pour n'importe quel utilisateur du service de messagerie d'entreprise.
Cette vulnérabilité ouvre un boulevard aux hackers pour des tentatives de phishing, les rendant plus crédibles aux yeux des victimes potentielles. Slonser affirme avoir signalé le problème à Microsoft, sans que cette dernière ne prenne pour autant les mesures nécessaires.
Une faille Outlook qui permet à quiconque d'usurper le mail d'une entreprise
Slonser, chercheur en cybersécurité pour SolidLab, a réussi à exploiter une faille au sein d'Outlook. Celle-ci lui a permis d'envoyer un courriel usurpant l'identité de l'équipe de sécurité des comptes Microsoft à la rédaction de TechCrunch. Il a ainsi démontré la gravité de cette vulnérabilité.
Dans sa publication sur X.com, il retranscrit la conversation qu'il a eue avec Microsoft après avoir envoyé un mail à l'entreprise en se faisant passer pour un de ses employés.
« J'ai trouvé une vulnérabilité qui permet d'envoyer un message depuis n'importe quel user@domain > Nous ne pouvons pas la reproduire > J'ai envoyé une vidéo avec l'exploitation, un PoC complet > Nous ne pouvons pas la reproduire », décrit-il, avant de finalement lâcher l'affaire. « À ce stade, j'ai décidé d'arrêter la communication avec Microsoft », conclut-il.
Selon ses dires, le bug n'affecte que les envois de messages vers des comptes Outlook, soit un bassin d'au moins 400 millions d'utilisateurs dans le monde. Cependant, Slonser a pris soin de ne pas divulguer les détails techniques de son exploit afin d'éviter tout abus malveillant.
Microsoft tarde à réagir, alors en attendant, soyez prudent
Dans un premier temps, Microsoft a rejeté le rapport de Slonser, affirmant son incapacité à reproduire le bug. Une attitude qui a poussé le chercheur à rendre public son échange avec l'entreprise sur X.com. Quelques heures plus tard, la firme de Redmond a finalement rouvert l'un des rapports précédemment soumis par Slonser, laissant sous-entendre des discussions en cours.
«[…] À ce stade, ils ont reconnu le problème. De plus, ils ont répondu à certains de mes anciens rapports concernant les courriels […] », peut-on lire peu après sur la première publication.
Microsoft devrait donc publier prochainement un correctif pour colmater cette brèche.
En attendant, il est recommandé aux utilisateurs d'Outlook de redoubler de vigilance face aux mails provenant soi-disant de sources légitimes. Lorsqu'une entreprise reconnue vous envoie un mail, elle ne vous demande jamais de communiquer de données personnelles vous concernant. Si c’est le cas, alors ne répondez pas.
De la même manière, soyez particulièrement méfiants envers les messages contenant des pièces jointes ou des liens, même s'ils semblent émaner d'expéditeurs de confiance.
Enfin, avant d'ouvrir un document ou de cliquer sur un lien, assurez-vous de l'authenticité de la source par d'autres moyens de vérification, comme avec l'envoi d'un message à l'entreprise concernée lui demandant confirmation.
- storage15 Go de stockage
- securityChiffrement natif en option
- alternate_emailPas de domaine personnalisé
- smartphoneApplications iOS, Android
- push_pinJurisdiction USA
Source : TechCrunch
