Parfois, pour attirer l’attention des grandes entreprises, il faut utiliser les grands moyens. C’est la leçon qu’a appris Vsevolod Kokorin, un expert en cybersécurité qui a voulu alerter Microsoft quant à l’existence d’une faille très inquiétante sur sa plateforme de mail Outlook.
Comme le raconte TechCrunch, l’outil de Microsoft permet à un acteur mal intentionné d’envoyer un mail en utilisant, en apparence, n’importe quel identifiant et n’importe quel nom de domaine. Ainsi, celui qui se fait appeler « Slonser » sur X a, par exemple, usurpé l’identité de la branche sécurité de Microsoft en envoyant un mail semblant venir de l’adresse « security@microsoft.com ».
Du phishing plus vrai que nature
En l’état, un tel bug pourrait permettre à n’importe qui de se faire passer pour un acteur de confiance, grâce à une adresse mail au vernis légitime. Une arme de destruction massive pour le phishing en somme puisqu’elle permettrait, par exemple, d’envoyer des mails convaincants venant de « pole-emploi@noreply-pole-emploi.fr » ou du domaine « @dgfip.finances.gouv.fr » vous demandant, pourquoi pas, de l’argent.
Si Vsevolod Kokorin n’a pas détaillé le fonctionnement de cette faille, pour éviter qu’elle « soit utilisée à des fins illégales », on sait tout de même que le bug concerne spécifiquement les utilisateurs et utilisatrices d’Outlook et que les autres fournisseurs de mail sont, à priori, immunisés. Si Outlook n’a pas la popularité de Gmail, la plateforme est tout de même utilisée par 400 millions d’internautes, dont bon nombre d’entreprises. Une telle faille pourrait donc avoir des conséquences gravissimes.
Microsoft refuse de réagir
Entrée une première fois en communication avec Microsoft pour leur signaler le problème, Slonser s’est vu opposer une fin de non-recevoir sous prétexte que l’entreprise ne pouvait pas reproduire le bug. Après une deuxième alerte et une deuxième absence de réponse de la part de Microsoft, le spécialiste a posté une image sur X illustrant le problème. Le message a immédiatement attiré l’attention de beaucoup de spécialistes du domaine et a donné naissance à quelques articles dans des médias spécialisés.
Devant le brouhaha naissant, Microsoft a enfin reconnu l’existence du problème et a entamé un marathon de publication de correctif pour son outil de messagerie. « Je suis usé par le comportement de Microsoft », a tout de même dénoncé Vsevolod Kokorin, expliquant que d’autres grandes entreprises, notamment Google, avaient réagi plus promptement lorsque des failles leur avaient été révélées.
Pour aller plus loin
SMS frauduleux : les bons réflexes à adopter pour ne pas se faire avoir
Téléchargez notre application Android et iOS ! Vous pourrez y lire nos articles, dossiers, et regarder nos dernières vidéos YouTube.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
GĂ©rer mes choix