Sécurité : Outlook une nouvelle fois montré du doigt
Un plug-in bien pratique permet de simplifier le cryptage des courriers électroniques à l’aide du célèbre logiciel de Philip Zimmerman, PGP. Seulement, utilisé avec Outlook et certaines versions de PGP, le plug-in permettrait à un pirate de prendre le contrôle de la machine. Les autres gestionnaires de mail ne sont pas concernés.
Une fois encore, Outlook, le gestionnaire de courrier électronique, d’agenda et de contacts de Microsoft, est touché par un problème de sécurité. Signalons tout de suite que le problème découvert par des chercheurs de la société eEye Digital Security ne touche certainement qu’un petit nombre de personnes puisqu’il est lié à l’utilisation du programme de chiffrement PGP. Ce dernier est certainement le logiciel de cryptage de données le plus populaire – et le plus efficace – du Web. Certains, le trouvant trop compliqué à utiliser, installent en plus un plug-in dans leur logiciel de mail, pour crypter leurs messages d’un simple clic. Même Philip Zimmerman, le créateur de PGP, utilise un tel plug-in, comme nous l’apprend un article de l’Associated Press. Mais il n’est pas concerné par le problème de sécurité puisqu’il préfère utiliser Eudora plutôt qu’Outlook. Seules les versions 7.0.4 de PGP Desktop Security, 7.0.3 de PGP Personnal security et 7.0.3 de PGP Freeware, distribuées par Networks Associates (NAI) sont concernées.
La fiabilité de PGP n’est pas mise en cause
Rassurons tout de suite les adeptes du chiffrement, l’intégrité des messages envoyés par ce biais est entièrement respectée. La fiabilité de PGP n’est pas du tout remise en cause. En revanche, la faille du plug-in dans Outlook permettrait à un pirate de prendre le contrôle de la machine, rien qu’en envoyant un message spécialement codé. Celui-ci apparaît vide dans la liste des messages reçus, tout en écrivant des données dans une zone mémoire mal protégée. Ainsi, le pirate peut, par exemple, installer un logiciel espion sur le PC visé. Ainsi que le note le communiqué (en anglais) publié par eEye, la simple consultation du message suffit pour déclencher le processus. Il n’est pas nécessaire d’ouvrir une pièce jointe.
Correctif disponible sur le site de NAI
Bien qu’ayant cessé la distribution de PGP il y a plusieurs mois (voir édition du 15 octobre 2001), NAI a développé un correctif librement téléchargeable sur son site.
Un malheur n’arrivant jamais seul, une autre société, PivX Solutions, a dévoilé un défaut touchant à la fois Internet Explorer et Outlook, qui permet à un pirate de consulter les cookies d’un internaute et même d’exécuter des programmes à l’insu de celui-ci. Selon un article de nos confrères de News.com, Microsoft aurait réagi plutôt violemment, reprochant à la société d’avoir publié le problème avant qu’un correctif ne soit disponible. Et de relancer la polémique sur le sujet de savoir s’il est préférable ou non d’attendre la disponibilité d’un patch avant d’alerter les utilisateurs (voir édition du 8 juillet 2002)…