Pour gérer vos consentements :
Categories: Cloud

Sécurité : Outlook une nouvelle fois montré du doigt

Une fois encore, Outlook, le gestionnaire de courrier électronique, d’agenda et de contacts de Microsoft, est touché par un problème de sécurité. Signalons tout de suite que le problème découvert par des chercheurs de la société eEye Digital Security ne touche certainement qu’un petit nombre de personnes puisqu’il est lié à l’utilisation du programme de chiffrement PGP. Ce dernier est certainement le logiciel de cryptage de données le plus populaire – et le plus efficace – du Web. Certains, le trouvant trop compliqué à utiliser, installent en plus un plug-in dans leur logiciel de mail, pour crypter leurs messages d’un simple clic. Même Philip Zimmerman, le créateur de PGP, utilise un tel plug-in, comme nous l’apprend un article de l’Associated Press. Mais il n’est pas concerné par le problème de sécurité puisqu’il préfère utiliser Eudora plutôt qu’Outlook. Seules les versions 7.0.4 de PGP Desktop Security, 7.0.3 de PGP Personnal security et 7.0.3 de PGP Freeware, distribuées par Networks Associates (NAI) sont concernées.

La fiabilité de PGP n’est pas mise en cause

Rassurons tout de suite les adeptes du chiffrement, l’intégrité des messages envoyés par ce biais est entièrement respectée. La fiabilité de PGP n’est pas du tout remise en cause. En revanche, la faille du plug-in dans Outlook permettrait à un pirate de prendre le contrôle de la machine, rien qu’en envoyant un message spécialement codé. Celui-ci apparaît vide dans la liste des messages reçus, tout en écrivant des données dans une zone mémoire mal protégée. Ainsi, le pirate peut, par exemple, installer un logiciel espion sur le PC visé. Ainsi que le note le communiqué (en anglais) publié par eEye, la simple consultation du message suffit pour déclencher le processus. Il n’est pas nécessaire d’ouvrir une pièce jointe.

Correctif disponible sur le site de NAI

Bien qu’ayant cessé la distribution de PGP il y a plusieurs mois (voir édition du 15 octobre 2001), NAI a développé un correctif librement téléchargeable sur son site.

Un malheur n’arrivant jamais seul, une autre société, PivX Solutions, a dévoilé un défaut touchant à la fois Internet Explorer et Outlook, qui permet à un pirate de consulter les cookies d’un internaute et même d’exécuter des programmes à l’insu de celui-ci. Selon un article de nos confrères de News.com, Microsoft aurait réagi plutôt violemment, reprochant à la société d’avoir publié le problème avant qu’un correctif ne soit disponible. Et de relancer la polémique sur le sujet de savoir s’il est préférable ou non d’attendre la disponibilité d’un patch avant d’alerter les utilisateurs (voir édition du 8 juillet 2002)…

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago