Microsoft Outlook: faille SMTP
Les serveurs e-mail de certaines entreprises pourraient êtrepiratés à l'insu de tous, conduisant à des fuites d'informationssensibles.
Les serveurs e-mail de certaines entreprises pourraient êtrepiratés à l'insu de tous, conduisant à des fuites d'informationssensibles.
Ce vendredi 8 avril, la société de sécurité informatique iDefense a émis un bulletin d'alerte à propos d'une faille de sécurité dans Microsoft Outlook et Microsoft Outlook Web Access.
Trèsrépandues dans le monde de l'entreprise, ces deux applicationsconnaîtraient une vulnérabilité au niveau du remplissage des adressesélectroniques séparées par des virgules.
Supposons qu'uncollaborateur reçoive depuis l'extérieur un e-mail passant pour venirde l'intérieur de l'entreprise (comportant donc un nom de domaineconnu); si ce collaborateur souhaite rediffuser en SMTP le même e-mailpour action à plusieurs destinataires, à l'intérieur du réseau local,il peut se contenter d'entrer leurs adresses en succession dans laligne "from" ou "de" de son client e-mail, en les séparant par desvirgules. Dans ce cas, seule la première de ces adresses sera affichée.Glissée parmi celles de destinataires légitimes, l'adresse e-mail d'unhacker peut ainsi se retrouver dans le carnet d'adresses interne duréseau, et recevoir tout le courrier envoyé en masse comme s'ils'agissait d'un récipiendaire légitime. 'Bien' exploitée, cette faillepourrait provoquer une fuite d'informations sensibles vers l'extérieurde l'entreprise.
Les applications concernées sont Microsoft Outlook intégré dans le Pack Office XP, Microsoft Outlook pour Office 2003 et Outlook Web Access intégré dans Exchange 2003.
Microsoft Outlook Express n'est pas touché par ce problème.
Laseule parade connue à ce jour consiste en un examen soigneux desadresses ou groupes d'adresses avant redistribution de vos e-mails; ilest bien entendu recommandé de ne pas rediriger de messages vers desadresses doûteuses, ni de cliquer sur des liens dont vous ignorez laprovenance.
Microsoft se dit conscient du problème, et affirmequ'un correctif sera inséré dans un prochain Service Pack, sansproposer pour l'instant de remède, fût-il temporaire.
Poser une question
Quelqu'un pourrait expliquer '