Problèmes de sécurité concernant le transfert de données dans la nouvelle application Outlook
Il a été signalé que la récente itération de l'application Outlook envoyait divers types de données aux serveurs Microsoft. Cela inclut, sans toutefois s'y limiter, le contenu des e-mails des utilisateurs et les informations d'identification d'accès potentiellement sensibles. Avec la transition vers Outlook mis à jour, il existe un consentement implicite qui permet à Microsoft d'accéder aux informations de messagerie des utilisateurs.
Heise Online a révélé qu'au-delà du contenu des e-mails, l'application envoie également des informations d'identification IMAP et SMTP liées aux comptes d'utilisateurs. Lors du processus d'ajout de nouveaux comptes de messagerie, Outlook indique clairement qu'il synchronisera les données avec les services cloud de Microsoft, comme indiqué : "Tout ce que vous créez dans Outlook est stocké dans le cloud Microsoft". Les utilisateurs recherchant de plus amples informations sont dirigés vers un article d'assistance de Microsoft.
L'intention de Microsoft avec cette synchronisation est de fournir une expérience utilisateur transparente, selon leur explication. La version mise à jour d'Outlook est conçue pour synchroniser les comptes non Microsoft, qui incluent les e-mails, les contacts et les événements du calendrier, avec le cloud Microsoft. Cette fonction est compatible avec divers comptes tels que Gmail, Yahoo, iCloud et d'autres services IMAP, dans différentes applications Outlook. L’objectif est de rendre certaines fonctionnalités, autrefois exclusives aux comptes Microsoft 365 ou Microsoft Exchange Online, accessibles à un plus large éventail d’utilisateurs. Cette synchronisation garantit la cohérence des e-mails, des entrées de calendrier et des contacts entre le service de messagerie de l'utilisateur et les centres de données Microsoft.
Toutefois, la portée de la collecte de données par Microsoft s’étend au-delà de cela. Selon Heise Online, le nouveau Outlook est configuré pour envoyer les informations de connexion, notamment les noms d'utilisateur et les mots de passe, aux serveurs Microsoft. Bien que ce transfert soit sécurisé avec TLS, les informations d'identification sont transmises en texte brut au sein du canal protégé. Cela indique que Microsoft a le potentiel d'accéder aux informations d'identification IMAP et SMTP sans en informer explicitement les utilisateurs ni obtenir leur consentement direct. L'utilisation d'un compte Google avec Outlook semble offrir un paysage de confidentialité légèrement différent. Une fois authentifié via OAuth2, seul un jeton d'accès est transféré à Microsoft, que les utilisateurs ont la possibilité de révoquer. Dans de tels cas, les informations de connexion sensibles telles que les noms d’utilisateur et les mots de passe ne sont pas transmises à Microsoft.
THE GURU3D
