Le chiffrement des messages Office 365 de Microsoft est tout sauf sécurisé. Et l’entreprise ne veut même pas y changer quoi que ce soit.

Le chiffrement des messages Office 365 de Microsoft est affecté par une grave faille de sécurité due à l’utilisation de la procédure ECB, considérée comme non sécurisée. Il permet aux attaquants de reconstituer le contenu des e-mails chiffrés en les analysant. Mais les Redmonder se montrent déraisonnables. Une mise à jour n’est pas prévue pour le moment.

Le chiffrement des messages Office 365 s’appuie sur la technologie ECB non sécurisée

Comme l’a expliqué le National Institute of Standards and Technology (NIST) des États-Unis en mars, l’utilisation des livres de codes électroniques (ECB) pour chiffrer les informations confidentielles est inadaptée et représente donc une grave faille de sécurité. Chiffrement des messages (OME) de Microsoft.

La méthode proposée dans Office 365 pour transmettre des e-mails cryptés est en fait destinée à permettre aux utilisateurs du logiciel de communiquer avec d’autres personnes de manière sécurisée. Cependant, en utilisant la technologie ECB, la société de Redmond a manqué sa cible. Comme l’indiquent clairement les chercheurs en sécurité de WithSecure dans leur nouveau rapport, les attaquants peuvent être en mesure de déchiffrer le contenu des messages.

Les attaquants peuvent reconstruire le contenu grâce à l’analyse

La BCE divulgue certaines informations structurelles entraînant une perte de confidentialité. Les messages cryptés sont généralement joints à un e-mail ordinaire, qui peut potentiellement être intercepté sur le chemin du destinataire. Si un attaquant collecte ainsi de nombreux e-mails, il peut déduire leur contenu – ou du moins des parties de celui-ci – en analysant des sections répétées dans les messages.

L’algorithme attribue toujours les mêmes blocs de chiffrement aux blocs répétitifs du message envoyé avec Office 365. En fin de compte, cela signifie que bien que le texte en clair réel ne soit pas directement ouvert, les informations sur sa structure le sont. À travers « une analyse de la relation des motifs répétitifs« Dans un grand nombre d’e-mails, un attaquant peut finalement déduire des parties du contenu chiffré et éventuellement même reconstituer l’intégralité du message.

Une mise à jour pour Office 365 n’est pas en vue – mais il y a des conséquences juridiques

Les chercheurs mettent en garde contre les conséquences juridiques que peut avoir un chiffrement des messages Office 365 faible :

« En fonction du contenu envoyé via des messages cryptés, certaines organisations doivent tenir compte des implications juridiques de la vulnérabilité. Il est possible que la vulnérabilité ait des implications sur la vie privée, comme décrit dans le Règlement général sur la protection des données (RGPD) de l’UE, le California Consumer Privacy Act (CCPA) ou des lois similaires.

AvecSecure

La réaction de Microsoft au rapport des chercheurs en sécurité de WithSecure n’est pas vraiment perspicace :

«Le rapport n’a pas été considéré comme une conformité à la sécurité, ni comme une violation de la sécurité. Aucun changement de code n’a été effectué et, par conséquent, aucun CVE n’a été émis pour ce rapport.

Microsoft

La conclusion des chercheurs ne permet donc qu’une seule option de protection contre la vulnérabilité. Si vous souhaitez communiquer en toute sécurité, vous ne devez tout simplement pas utiliser le chiffrement des messages Office 365. Gagner de l’argent avec ses logiciels est évidemment une priorité plus élevée pour Microsoft que d’assurer la sécurité de ses clients.