Il y a une faille dans la façon dont Microsoft gère les e-mails sécurisés (s’ouvre dans un nouvel onglet) envoyé via Microsoft Office 365, a déclaré un chercheur en sécurité.
Tel que rapporté par OrdinateurHebdomadaireavec un échantillon suffisamment large, un auteur de menaces pourrait apparemment profiter de la faille pour déchiffrer le contenu des e-mails chiffrés.
Cependant, Microsoft a minimisé l’importance des résultats, affirmant qu’il ne s’agissait pas vraiment d’un défaut. Pour l’instant, l’entreprise n’a pas l’intention de mettre en place une remédiation.
Plus d’e-mails, découverte plus facile
La faille a été découverte par le chercheur en sécurité Harry Sintonen de WithSecure (anciennement F-Secure) dans Office 365 Message Encryption (OME).
Les organisations utilisent généralement OME lorsqu’elles cherchent à envoyer des e-mails cryptés, à la fois en interne et en externe. Mais étant donné qu’OME chiffre chaque bloc de chiffrement individuellement, et avec des blocs répétés du message correspondant aux mêmes blocs de texte chiffré à chaque fois, un acteur malveillant peut théoriquement révéler des détails sur la structure du message.
Cela, selon Sintonen, signifie qu’un acteur potentiel de la menace disposant d’un échantillon suffisamment important d’e-mails OME pourrait déduire le contenu des messages. Tout ce qu’ils auraient à faire est d’analyser l’emplacement et la fréquence des motifs répétitifs dans chaque message, et de les faire correspondre à d’autres messages.
« Plus d’e-mails rendent ce processus plus facile et plus précis, c’est donc quelque chose que les attaquants peuvent effectuer après avoir mis la main sur des archives d’e-mails volées lors d’une violation de données, ou en pénétrant par effraction dans le compte de messagerie ou le serveur de messagerie de quelqu’un ou en accédant à des sauvegardes », a déclaré Sintonen.
Si un acteur malveillant obtient des archives de courrier électronique volées lors d’une violation de données, cela signifie qu’il pourra analyser les modèles hors ligne, ce qui simplifiera encore le travail. Cela rendrait également les pratiques Bring Your Own Encryption/Key (BYOE/K) obsolètes.
Malheureusement, si un pirate met la main sur ces e-mails, les entreprises ne peuvent vraiment pas faire grand-chose.
Apparemment, le chercheur a signalé le problème à Microsoft au début de cette année, en vain. Dans une déclaration fournie à WithSecure, Microsoft a déclaré que le rapport n’était « pas considéré comme atteignant la barre des services de sécurité, ni comme une violation. Aucun changement de code n’a été effectué et donc aucun CVE n’a été émis pour ce rapport ».
Via ComputerWeekly (s’ouvre dans un nouvel onglet)