histats

La fonction de cryptage d’Office 365 peut être facilement piratée, prévient WithSecure

La fonction de cryptage d’Office 365 peut être facilement piratée, prévient WithSecure

Les chercheurs de la société de cybersécurité WithSecure ont émis un avertissement selon lequel la méthode utilisée pour générer des messages chiffrés dans Microsoft Office 365 peut être piratée relativement facilement.

Microsoft Office 365 Message Encryption (OME), une fonctionnalité proposée dans la suite Office 365, permet aux utilisateurs professionnels d’envoyer des messages chiffrés sous forme de pièce jointe HTML par e-mail.

Microsoft affirme que la fonctionnalité est utile pour envoyer des données sensibles telles que des dossiers médicaux, mais WithSecure affirme que le service utilise une méthode de fonctionnement non sécurisée pour le cryptage, permettant aux acteurs de la menace de déduire la structure des messages cryptés.

Les messages OME sont générés à l’aide d’Electronic Code Book (ECB), où le texte du message est décomposé en blocs de chiffrement chiffrés individuellement avec une clé stockée et gérée par Microsoft, via Azure Rights Management (Azure RMS). Chaque caractère du texte en clair est directement remplacé par un caractère de texte chiffré, selon la clé.

Grâce à cette méthode, cependant, des blocs identiques de texte brut renverront des blocs identiques de texte crypté, de sorte que des modèles dans le contenu puissent être identifiés. C’est particulièrement le cas des e-mails, qui ont des structures plus faciles à prévoir que d’autres types de messages généralement envoyés via des applications cryptées de bout en bout (E2EE), telles que Signal ou WhatsApp.

Les e-mails des organisations, qui sont susceptibles de contenir des en-têtes ou des pieds de page répétés, peuvent être particulièrement vulnérables à ce type de décryptage malveillant, car les modèles révèlent les substituts cryptés du texte brut. Si un message d’une organisation se déconnectait toujours de la même manière, un attaquant ayant accès à une base de données de ces messages serait en mesure de déchiffrer partiellement chacun d’entre eux.

See also  Le propriétaire de Tesla implante une puce pour déverrouiller sa voiture et plus

WithSecure a conseillé aux organisations d’envisager des canaux de communication alternatifs pour les informations sensibles de l’entreprise.

Les destinataires doivent accéder aux messages via un code à usage unique, un compte Microsoft valide ou un compte professionnel pour déchiffrer les messages, et les utilisateurs finaux peuvent révoquer l’accès aux e-mails envoyés à tout moment.

Cependant, l’OME n’impose aucune restriction d’utilisation à l’annexe elle-même. Il est donc possible que des pirates interceptent les pièces jointes, les impriment ou soient transmises par le destinataire d’origine avec peu de mesures correctives possibles du côté de l’expéditeur.

WithSecure a signalé le problème, qu’il classe comme une vulnérabilité, à Microsoft le 11 janvier. Après plusieurs tentatives répétées pour contacter le géant de la technologie et un message indiquant qu’il rendrait la divulgation publique, WithSecure affirme avoir reçu le message suivant de Microsoft le 21 septembre :

“Le rapport n’a pas été considéré comme répondant aux exigences des services de sécurité, ni comme une violation. Aucune modification de code n’a été apportée, et donc aucun CVE n’a été émis pour ce rapport.”

Les chercheurs citent la documentation de conformité de Microsoft pour affirmer que l’ECB est utilisé pour maintenir la rétrocompatibilité avec les anciennes versions d’Office, qui ne prennent en charge que l’ECB 128 bits Advanced Encryption Standard (AES).

Outre OME, les utilisateurs professionnels peuvent utiliser deux autres services de chiffrement dans Office 365. Il s’agit de la gestion des droits relatifs à l’information (IRM) et de S/MIME, qui offrent tous deux un meilleur contrôle des droits d’accès aux messages envoyés. Les messages envoyés via ces options sont également cryptés à l’aide de différentes méthodes opérationnelles, mais présentent leurs propres avantages et inconvénients en matière d’accessibilité.

See also  Pegasus Spyware Maker NSO Group a des contrats dans 12 pays de l'UE : rapport

Professionnel de l’informatique a contacté Microsoft pour commentaires.

Ressources sélectionnées

La cybersécurité dans le commerce de détail

Les détaillants doivent s’assurer que leurs opérations commerciales et leurs données internes ne sont pas violées

Téléchargement Gratuit

Trois étapes clés pour moderniser les applications héritées dans le cloud

Les défis et les moyens de réussir la modernisation des applications

Téléchargement Gratuit

L’heure du cloud MDM est arrivée

Connaître les différences entre MDM basé sur le cloud et compatible avec le cloud

Téléchargement Gratuit

Magic Quadrant pour les solutions de qualité des données

Alimente l’analyse pour de meilleures informations et pour prendre des décisions fiables et basées sur les données

Téléchargement Gratuit

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *