Les serveurs e-mail de certaines entreprises pourraient être piratés à l'insu de tous, conduisant à des fuites d'informations sensibles.
Ce vendredi 8 avril, la société de sécurité informatique iDefense a émis un bulletin d'alerte à propos d'une faille de sécurité dans Microsoft Outlook et Microsoft Outlook Web Access.
Très répandues dans le monde de l'entreprise, ces deux applications connaîtraient une vulnérabilité au niveau du remplissage des adresses électroniques séparées par des virgules.
Supposons qu'un collaborateur reçoive depuis l'extérieur un e-mail passant pour venir de l'intérieur de l'entreprise (comportant donc un nom de domaine connu); si ce collaborateur souhaite rediffuser en SMTP le même e-mail pour action à plusieurs destinataires, à l'intérieur du réseau local, il peut se contenter d'entrer leurs adresses en succession dans la ligne "from" ou "de" de son client e-mail, en les séparant par des virgules. Dans ce cas, seule la première de ces adresses sera affichée. Glissée parmi celles de destinataires légitimes, l'adresse e-mail d'un hacker peut ainsi se retrouver dans le carnet d'adresses interne du réseau, et recevoir tout le courrier envoyé en masse comme s'il s'agissait d'un récipiendaire légitime. 'Bien' exploitée, cette faille pourrait provoquer une fuite d'informations sensibles vers l'extérieur de l'entreprise.
Les applications concernées sont Microsoft Outlook intégré dans le Pack Office XP, Microsoft Outlook pour Office 2003 et Outlook Web Access intégré dans Exchange 2003.
Microsoft Outlook Express n'est pas touché par ce problème.
La seule parade connue à ce jour consiste en un examen soigneux des adresses ou groupes d'adresses avant redistribution de vos e-mails; il est bien entendu recommandé de ne pas rediriger de messages vers des adresses doûteuses, ni de cliquer sur des liens dont vous ignorez la provenance.
Microsoft se dit conscient du problème, et affirme qu'un correctif sera inséré dans un prochain Service Pack, sans proposer pour l'instant de remède, fût-il temporaire.
