Une fois encore, Outlook, le gestionnaire de courrier électronique, d’agenda et de contacts de Microsoft, est touché par un problème de sécurité. Signalons tout de suite que le problème découvert par des chercheurs de la société eEye Digital Security ne touche certainement qu’un petit nombre de personnes puisqu’il est lié à l’utilisation du programme de chiffrement PGP. Ce dernier est certainement le logiciel de cryptage de données le plus populaire – et le plus efficace – du Web. Certains, le trouvant trop compliqué à utiliser, installent en plus un plug-in dans leur logiciel de mail, pour crypter leurs messages d’un simple clic. Même Philip Zimmerman, le créateur de PGP, utilise un tel plug-in, comme nous l’apprend un article de l’Associated Press. Mais il n’est pas concerné par le problème de sécurité puisqu’il préfère utiliser Eudora plutôt qu’Outlook. Seules les versions 7.0.4 de PGP Desktop Security, 7.0.3 de PGP Personnal security et 7.0.3 de PGP Freeware, distribuées par Networks Associates (NAI) sont concernées.
La fiabilité de PGP n’est pas mise en cause
Rassurons tout de suite les adeptes du chiffrement, l’intégrité des messages envoyés par ce biais est entièrement respectée. La fiabilité de PGP n’est pas du tout remise en cause. En revanche, la faille du plug-in dans Outlook permettrait à un pirate de prendre le contrôle de la machine, rien qu’en envoyant un message spécialement codé. Celui-ci apparaît vide dans la liste des messages reçus, tout en écrivant des données dans une zone mémoire mal protégée. Ainsi, le pirate peut, par exemple, installer un logiciel espion sur le PC visé. Ainsi que le note le communiqué (en anglais) publié par eEye, la simple consultation du message suffit pour déclencher le processus. Il n’est pas nécessaire d’ouvrir une pièce jointe.
Correctif disponible sur le site de NAI
Bien qu’ayant cessé la distribution de PGP il y a plusieurs mois (voir édition du 15 octobre 2001), NAI a développé un correctif librement téléchargeable sur son site.
Un malheur n’arrivant jamais seul, une autre société, PivX Solutions, a dévoilé un défaut touchant à la fois Internet Explorer et Outlook, qui permet à un pirate de consulter les cookies d’un internaute et même d’exécuter des programmes à l’insu de celui-ci. Selon un article de nos confrères de News.com, Microsoft aurait réagi plutôt violemment, reprochant à la société d’avoir publié le problème avant qu’un correctif ne soit disponible. Et de relancer la polémique sur le sujet de savoir s’il est préférable ou non d’attendre la disponibilité d’un patch avant d’alerter les utilisateurs (voir édition du 8 juillet 2002)…
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…