Fin 2013, Microsoft avait annoncé une série d'engagements visant à améliorer la sécurité des données des utilisateurs et notamment via des mesures au niveau du chiffrement. Il s'agissait alors de retrouver au plus vite la confiance des utilisateurs après les révélations d'Edward Snowden et jusqu'à offrir une " protection contre l'espionnage du gouvernement " américain lui-même.
Au cours de ces six derniers mois, plusieurs de ces engagements ont été formalisés dans des produits comme Microsoft Azure, Skype et Office 365. Aujourd'hui, Microsoft indique l'activation du protocole de chiffrement Transport Layer Security pour son webmail Outlook.com.
Avec TLS, c'est la promesse du chiffrement pendant l'acheminement des emails entrants et sortants. Cela tend ainsi vers un chiffrement de bout-en-bout qui rend très compliqué l'espionnage des communications par un tiers.
Une telle protection n'est réellement efficace pour tout le transit email que si les divers fournisseurs impliqués jouent le jeu avec une implémentation de TLS pour leurs serveurs. Sur ce point, Microsoft précise avoir travaillé en étroite collaboration et mené des tests avec des fournisseurs tels que Deutsche Telekom, Yandex et Mail.Ru.
Néanmoins, le chapitre du rapport de transparence de Google consacré à la messagerie sécurisée montre que la généralisation de TLS à l'ensemble des fournisseurs est encore loin d'être acquise. C'est notamment le cas pour les fournisseurs d'accès à Internet français. Orange obtient par exemple un zéro pointé dans ses échanges avec Gmail pour le chiffrement pendant l'acheminement.
Microsoft annonce aussi avoir activé le protocole de chiffrement Perfect Forward Secrecy afin de protéger les connexions entre le serveur Outlook.com et les autres fournisseurs de messagerie. Le principe est d'utiliser une clé de chiffrement différente pour chaque connexion. Dès lors, un attaquant qui parvient à casser une clé ne pourra pas déchiffrer rétrospectivement des connexions antérieures.
PFS a également été activé pour OneDrive. Les utilisateurs de OneDrive sont automatiquement concernés lors d'un accès via onedrive.live.com, l'application mobile et par le biais des clients de synchronisation.
Pour son point d'étape, un dernier sujet mentionné par Microsoft est l'ouverture d'un Centre de Transparence à son siège de Redmond aux États-Unis. Il permet d'accueillir les clients gouvernementaux de Microsoft afin qu'ils examinent le code source de produits logiciels et s'assurent qu'il ne contiennent pas de backdoors. D'ici la fin de l'année, Microsoft doit ouvrir un Centre de Transparence international à Bruxelles en Belgique.
