Il n'existe encore aucun correctif pour cette vulnérabilité qui peut entraîner la divulgation d'informations confidentielles.
Rueil-Malmaison - 18 octobre 2022 : WithSecure™ (anciennement connu sous le nom de F-Secure Business) a publié aujourd'hui un avis de sécurité concernant une faille dans Microsoft Office 365 Message Encryption (OME).
OME permet aux entreprises d'envoyer des e-mails chiffrés en interne et en externe. Cette solution utilise l'implémentation Electronic Codebook (ECB) - un mode de fonctionnement connu pour laisser fuiter certaines informations structurelles sur les messages.
En collectant suffisamment d'e-mails OME, des hackers peuvent déduire partiellement ou totalement le contenu des messages. Pour ce faire, ils doivent analyser l'emplacement et la fréquence des séquences répétées dans les messages individuels, puis faire correspondre ces séquences à celles trouvées dans d'autres e-mails et fichiers OME.
« Les hackers qui parviennent à mettre la main sur plusieurs messages peuvent utiliser les informations ECB fuitées pour déchiffrer le contenu de ces messages. Plus le hacker dispose d'un nombre important d'e-mails, plus ce processus est facile et précis. Ils peuvent mener cette opération soit en mettant la main sur des archives d'e-mails volés lors de violations de données, soit en s'introduisant sur un compte ou un serveur de messagerie, soit en accédant aux sauvegardes », explique Harry Sintonen, consultant et chercheur en sécurité chez WithSecure™, qui a découvert le problème.
Les hackers peuvent mener une analyse tout en étant hors ligne : ils peuvent donc compromettre des archives d’anciens messages. Malheureusement, les entreprises n'ont aucun moyen d'empêcher un hacker en possession des e-mails d'en compromettre le contenu en utilisant cette méthode.
Il n’est pas non plus nécessaire de connaître les clés de chiffrement pour effectuer l'analyse. Et l'utilisation d'un système BYOK (Bring Your Own Key) ne résout pas le problème.
Harry Sintonen a partagé ses recherches avec Microsoft en janvier 2022. Microsoft a reconnu le problème et a rétribué Harry Sintonen via le programme de l'entreprise récompensant la découverte de vulnérabilités. Aucun correctif n'a cependant été publié.
Les entreprises peuvent choisir de renoncer à utiliser cette fonctionnalité mais le risque que des hackers accèdent à des e-mails existants déjà chiffrés avec OME demeure.
« Toute entreprise dont le personnel utilisait OME pour chiffrer les e-mails est coincée. Pour celles qui sont soumises à des exigences de confidentialité dans le cadre de contrats ou de réglementations locales, cela peut créer des problèmes. Et il y a, évidemment, les risques liés au vol de données lui-même, ce qui en fait un souci majeur pour les organisations », a déclaré Harry Sintonen.
Il n'existe donc pas de correctif publié par Microsoft, et aucun mode de fonctionnement plus sécurisé n’est disponible pour les administrateurs de messagerie ou les utilisateurs. De ce fait, WithSecure™ recommande d'éviter d'utiliser OME pour assurer la confidentialité des e-mails.
L'avis complet publié par WithSecure Labs est disponible ici : https://labs.withsecure.com/advisories/microsoft-office-365-message-encryption-insecure-mode-of-operation.html
Relations médias WithSecure™
Françoise Amon KOUTOUA
06 43 62 98 12
L’Agence RP
Justine Boiramier - justine@lagencerp.com - 06 50 31 86 24
Lucille Lavigne – lucille@lagencerp.com
Mélina Dahmane – melina@lagencerp.com
À propos de WithSecure™
WithSecure™ est le partenaire européen de référence en matière de cybersécurité depuis plus de 30 ans. Nous accompagnons les fournisseurs de services informatiques, les MSSP et des multinationales, qui nous font confiance, à travers des modèles commerciaux flexibles et adaptés au marché. Nous leur fournissons une cybersécurité axée sur les résultats, pour les protéger en toutes circonstances et garantir le bon fonctionnement de leurs activités. Notre protection basée sur l'IA sécurise les endpoints et protège les environnements cloud. Nos outils intelligents de détection et de réponse sont pilotés par des experts qui identifient les risques, assurent une recherche proactive des menaces et neutralisent les attaques en temps réel. Un service de consulting expert est également disponible pour les entreprises qui souhaitent renforcer leur résilience.
WithSecure™, anciennement F-Secure Corporation, a été fondée en 1988 et est cotée au NASDAQ OMX Helsinki Ltd.