Il y a 2 mois, Microsoft a acheté le client mail Acompli. Après un rebranding complet, Acompli est devenu Outlook et est maintenant disponible officiellement sous Android et iOS depuis 2 jours.

Mais René Winkelmeyer, développeur chez Microsoft, a découvert que l'application n'était pas suffisamment sécurisée.

Alors quels sont exactement les problèmes rencontrés avec cette version mobile d'Outlook ?

utlook

Avant toute chose, il faut bien comprendre que les problèmes soulevés sont de réels problèmes lorsqu'on se trouve dans un cadre d'entreprise, où la sécurité est importante et où le serveur qui gère la messagerie est hébergé uniquement par l'entreprise (et pas par Microsoft).

Pour commencer, comme Outlook pour mobile intègre des connecteurs OneDrive, Dropbox et Google Drive, il est possible d'attacher des fichiers directement depuis ces services. Même sur un téléphone sécurisé, un employé peut donc balancer ses fichiers perso (avec malware ?) depuis son compte Dropbox/OneDrive/GDrive perso, et à partir du mail de la société. Aucun contrôle n'est possible pour l'administrateur.

Autre problème, si un utilisateur installe l'application Outlook sur son iPhone et son iPad, le serveur qui accueille les connexions ActiveSync ne verra qu'un seul et même ID. Pas de distinction entre les appareils, ce qui peut poser de gros problèmes de sécurité.

Enfin, et c'est le plus croustillant, même après avoir désactivé totalement l'application, et s'être envoyé un email à partir d'un second compte, René a reçu une notification push l'avertissant de l'arrivée d'un nouveau mail. Après avoir analysé les logs de son serveur, il a découvert que son compte Exchange était scanné régulièrement à partir d'une adresse IP appartenant à AWS (Amazon WebServices) sans son autorisation.

Cela signifie que même si tout le système Exchange est géré en interne par l'entreprise, le simple fait de passer par cette application  Outlook pour iOS, envoi vos identifiants (login/pass) ainsi que vos emails, vos événements du calendrier et vos contacts dans le cloud de Microsoft. C'est pas moi qui le dit, c'était bien précisé dans la doc d'Acompli (que Microsoft a simplement renommé en Outlook) qui récupère toutes ces données pour les notifs push.

Ça craint à mort !

Bref, si vous prenez au sérieux la sécurité de votre serveur Exchange, informez vos utilisateurs ne pas passer par Outlook mobile pour le moment. Et si possible bloquez l'accès à votre serveur à partir de ces clients iOS et Android.