Un débat oppose actuellement Microsoft et plusieurs chercheurs en sécurité : le chiffrement des messages dans Office 365 est-il sécurisé ou non ? L’utilité d’Office Message Encryption (OME) était déjà remise en question.
Selon la description officielle, Office Message Encryption offre la possibilité « d’envoyer et de recevoir des messages chiffrés entre des personnes à l’intérieur et à l’extérieur de votre organisation ». Toutefois, d’après WithSecure, le chiffrement par bloc ECB (Electronic Codebook) qui est utilisé pour OME ne convient pas aux données comportant des motifs répétés telles que le texte brut ou les images et vidéos non comprimées. Malgré tout, Microsoft ne juge pas nécessaire d’entreprendre des modifications, comme le rapporte notamment le site spécialisé britannique « The Register ».
Pourtant, la critique exprimée par WithSecure est loin d’être un cas isolé. Ainsi, l’institut de normalisation renommé NIST juge que « l’utilisation d’ECB pour le chiffrement d’informations confidentielles occasionne une faille de sécurité grave ». Selon WithSecure, le fait qu’OME utilise un chiffrement puissant, à savoir AES, n’aide en rien. Autre point faible avancé par les chercheurs en sécurité : les messages OME sont envoyés sous forme de pièces jointes. « Lorsque plusieurs messages tombent entre les mains des pirates, les informations ECB divulguées peuvent être utilisées pour déterminer les contenus chiffrés », explique Harry Sintonen de WithSecure.
Microsoft estime qu’il n’est pas nécessaire de réagir au rapport. « D’une part, le rapport n’a pas rempli les exigences requises pour une inspection de sécurité. D’autre part, il n’y aurait pas de faille de sécurité. Le code n’a pas été modifié, par conséquent, aucun CVE n’a été attribué pour ce rapport », peut-on lire dans un communiqué. De surcroît, au plus tard depuis l’introduction de la solution interne de gouvernance des données Purview en avril dernier, l’entreprise classe OME comme système hérité.
Quoiqu’il en soit, WithSecure recommande aux entreprises de rester vigilantes aux éventuelles conséquences légales de l’utilisation d’OME, en particulier au regard des règles strictes de protection des données en vigueur en Europe et en Californie. « Puisque Microsoft n’a pas l’intention de remédier à ce défaut, la seule solution est d’éviter d’utiliser Office 365 Message Encryption », concluent les chercheurs.
Pour chiffrer vos e-mails de manière sécurisée et conforme aux normes, utilisez la solution de chiffrement par passerelle Email Encryption de Retarus. Celle-ci fonctionne avec tout système de messagerie basé sur SMTP, indépendamment du dispositif utilisé, et maîtrise S/MIME, PGP ainsi que OpenPGP. De plus, la norme X.509 v3 avec certificats internes est entièrement prise en charge ; Retarus gère toutes les clés internes et externes de manière centrale. Les destinataires ne disposant d’aucune solution de chiffrement peuvent consulter les messages par le biais d’un portail Web sécurisé. Si nous avons suscité votre intérêt, vous trouverez davantage d’informations sur notre site Web ou directement auprès de votre interlocuteur habituel.
