IBM Developer découvre que l'application Outlook pour iOS manque de sécurité adéquate

L’application Outlook pour iOS permet à Microsoft de voir tous les identifiants de compte de messagerie et de serveur sans que les utilisateurs en aient connaissance.

Le même jour où Microsoft a publié sa nouvelle application Outlook pour iOS, René Winkelmeyer, un développeur d’IBM, a averti qu’elle compromet la sécurité des entreprises de plusieurs manières.

Le Responsable du Développement chez midpoints GmbH et Champion IBM, René Winkelmeyer, a découvert des problèmes de sécurité selon lesquels Microsoft obtiendra et stockera vos identifiants de compte de messagerie et les données du serveur dans le cloud (sans vous en informer) si vous utilisez la nouvelle application Outlook pour iOS.

Il a découvert ces détails en analysant comment le mécanisme de l’application Outlook pour iOS gère les notifications push et note que Microsoft a un accès potentiel aux données de gestion des informations personnelles. Il développe cela en détail ici.

Une autre complication de sécurité de l’application Outlook pour iOS est que même si l’application est installée par l’utilisateur sur plusieurs appareils, elle aura le même identifiant sur tous, ce qui empêchera les administrateurs de distinguer l’appareil d’un utilisateur d’un autre. De plus, les connecteurs intégrés de l’application Outlook pour iOS vers OneDrive, Dropbox et Google Drive sont un cauchemar en matière de sécurité des données.

René Winkelmeyer a noté sur les connecteurs intégrés dans l’application Outlook pour iOS :

“Cela signifie qu’un utilisateur peut configurer son compte personnel dans l’application et partager toutes les pièces jointes de messagerie en utilisant ces services. Ou utiliser des fichiers de ces services dans son compte de messagerie d’entreprise.”

Ces problèmes de sécurité sont apparus dans la nouvelle application Outlook pour iOS après que Microsoft a acheté la société d’application de messagerie mobile Accompli il y a moins de deux mois et qu’ils ont mis à jour leur politique de confidentialité (mise à jour le 28 janvier 2015) qui dit :

“Nous fournissons un service qui indexe et accélère la livraison de vos e-mails sur votre appareil. Cela signifie que notre service récupère vos messages e-mails entrants et sortants et les pousse de manière sécurisée vers l’application sur votre appareil. De même, le service récupère les données de calendrier et les contacts du carnet d’adresses associés à votre compte de messagerie et les pousse de manière sécurisée vers l’application sur votre appareil. Ces messages, événements de calendrier et contacts, ainsi que leurs métadonnées associées, peuvent être temporairement stockés et indexés de manière sécurisée à la fois sur nos serveurs et localement sur l’application de votre appareil. Si vos e-mails ont des pièces jointes et que vous demandez à les ouvrir dans notre application, le service les récupère depuis le serveur de messagerie, les stocke temporairement de manière sécurisée sur nos serveurs et les livre à l’application.” ” Si vous décidez de vous inscrire pour utiliser le service, vous devrez créer un compte. Cela nécessite que vous fournissiez l’adresse e-mail (ou les adresses) que vous souhaitez accéder avec notre service. Certains comptes de messagerie (ceux qui utilisent Microsoft Exchange, par exemple) nécessitent également que vous fournissiez vos identifiants de connexion e-mail, y compris votre nom d’utilisateur, votre mot de passe, l’URL du serveur et le domaine du serveur. D’autres comptes (comptes Google Gmail, par exemple) utilisent le mécanisme d’autorisation OAuth qui ne nécessite pas que nous accédions ou stockions votre mot de passe.”

Pour l’instant, René Winkelmeyer recommande à tous les administrateurs de dire aux employés de ne pas utiliser l’application Outlook pour iOS et de bloquer son accès aux serveurs de messagerie de leurs entreprises. Jusqu’à ce que les problèmes de sécurité puissent être résolus.