Le fonctionnement d’un client de messagerie est, depuis toujours, clair : il vous permet de consulter vos mails sur votre ordinateur. Seul vous et le serveur de mail ont connaissance de vos contacts, votre carnet d’adresse, du contenu de vos courriels. Enfin, ça, c’était avant…
Le nouvel Outlook fourni avec la mise à jour de Windows 11 de novembre 2023 a un comportement tout autre : sans laisser d’alternative à l’utilisateur, il « siphonne » non seulement les identifiants de messagerie tierce, mais aussi l’intégralité des messages reçus et à recevoir. Et bien sûr également les contacts et l’agenda…
Concrètement, cela signifie que si vous ajoutez un compte de messagerie professionnel non Microsoft (dans les faits, tout compte de messagerie IMAP ou POP) dans cette nouvelle version d’Outlook, Microsoft commencera à récupérer l’ensemble des informations transitant par votre serveur de messagerie.
D’un point de vue protection des données (#RGPD), c’est une catastrophe : des données personnelles qui ne devraient être échangées qu’entre vous et votre serveur de messagerie électronique se retrouvent dans l’océan de données de Microsoft, pour un usage flou. Pour l’utilisateur, c’est la perspective de bénéficier de « nouvelles fonctionnalités » … que l’utilisateur n’a pas nécessairement demandé.
Car c’est là le cœur du sujet : pour l’heure, l’utilisateur n’a aucun moyen de refuser, et l’explication par défaut est trop peu explicite. Deux aspects clés pour être conforme au RGPD.
D’un point de vue #Cybersécurité, c’est également une catastrophe : les emails « siphonnés » par Microsoft peuvent contenir des identifiants, des liens de connexion, des informations sur les fournisseurs réguliers… Si vous aviez été vigilant dans le choix de votre fournisseur de messagerie électronique, Microsoft Cloud s’impose sans que vous l’ayez validé…
Pour toutes ces raisons, je vous invite à reporter l’utilisation de la nouvelle version gratuite d’Outlook installée avec les mises à jour de Windows 11, et si vous l’utilisiez, à rester sur les applications Mail et Calendar fournies avec Windows. Mais c’est peut-être aussi le moment d’adopter une solution alternative, OpenSource, telle que Thunderbird. En plus de garder le contrôle sur vos données personnelles, adopter une solution « non GAFAM », c’est agir pour maintenir un peu de diversité dans l’écosystème numérique (tout comme utiliser Firefox plutôt que Chrome ou Edge), avec comme bénéfice collatéral de réduire son risque #Cyber : un logiciel avec moins de parts de marché que les autres est moins ciblé par les hackeurs (car c’est … moins rentable pour eux 😉 )
Si vous souhaitez remonter aux sources :
- · L’alerte initiale lancée par l’éditeur allemand spécialisé Heise (en allemand) Elle révèle également une faiblesse #Cybersecu dans la transmission du mot de passe…
- Le traitement de l’info avec réponse de Microsoft par Cybernews.
- Et pour les francophones, l’explication en français par it-connect-fr (le crédit de l’illustration leur revient)
Pour finir, je remercie Seb_sauvage dont la publication a attiré mon attention sur ce sujet.
Werner KLINGER
Ingénieur Conseil et Consultant Cybersécurité