Deux chercheurs belges en sécurité ont découvert qu'on pouvait, via Outlook pour Android, obtenir un fil de messagerie. Microsoft reconnaît le problème et a entre-temps préparé une mise à jour.

Ce sont Tom Wyckhuys et Sander Vanrapenbusch, chercheurs en sécurité auprès de The Security Factory, qui ont découvert le problème. En ajoutant un code à un mail, ils ont pu obtenir le fil de messagerie complet, lorsque ce dernier était transféré vers d'autres destinataires.

"Nous l'avons découvert en fait de façon fortuite", explique Sander Vanrapenbusch de The Security Factory, à Data News. "Nous étions en train d'envoyer ci et là un 'payload' (fragments de code, ndlr) et avons observé que ces mails étaient générés anormalement sur un smartphone, ce qui fait que nous avons poussé l'examen plus avant."

"Très vite, il est apparu qu'il s'agissait spécifiquement de l'appli Outlook pour Android, et nous avons constaté qu'on pouvait y générer du trafic réseau et, en fin de compte, qu'il était aussi possible de lire des courriels." Dans la pratique, cela s'appelle du 'cross-site scripting' (XSS), par lequel du code spécial dans un mail (envoyé par un agresseur) est interprété par l'appli Outlook comme une manipulation à effectuer. Il en résulte une sorte de tunnel, par lequel le mail transféré ensuite aboutit aussi chez l'agresseur.

"La faille peut être abusée non seulement pour mettre sur écoute les fils de messagerie, mais aussi pour du hameçonnage. La victime n'est même pas tenue de cliquer quelque part, car tout se passe dès que le mail est ouvert."

Le bug avait été découvert en novembre déjà, mais Wyckhuys et Vanrapenbusch ont patienté pour l'annoncer jusqu'à ce que Microsoft soit à même d'actualiser l'appli Outlook. "Au bout de deux mois, Microsoft a reconnu le problème et a mis ensuite six mois pour trouver une solution, qui est actuellement expédiée.

La faille a reçu le code CVE-2019-1105. Les deux chercheurs belges y sont cités comme étant ceux qui l'ont découverte. Microsoft mentionne aussi trois autres noms, notamment de CyberArk et de F5 Networks. Il est possible qu'ils aient découvert le problème en question entre le moment de la première mention et celui de la solution de Microsoft.

Pour tout utilisateur d'Outlook sur Android, il suffit d'actualiser l'appli. Cela peut se faire en balayant de gauche à droite via le Play Store, de cliquer sur 'mes applis et jeux' et de mettre à jour l'appli Outlook.