Une nouvelle faille de sécurité touchant les emails sous Microsoft 365 vient d’être révélée par un chercheur en cybersécurité. Cette vulnérabilité permet à n’importe qui d’usurper une adresse email d’employé Microsoft, rendant ainsi les tentatives de phishing beaucoup plus crédibles et trompeuses pour leurs cibles.
400 millions de comptes Outlook potentiellement menacés
D’après Vsevolod Kokorin, le chercheur ayant découvert la faille, celle-ci ne fonctionne que pour les emails envoyés vers des comptes Outlook. Mais cela représente tout de même une base d’au moins 400 millions d’utilisateurs dans le monde selon les derniers chiffres de Microsoft. L’ampleur de la menace reste pour le moment inconnue.
Microsoft encore dans la tourmente
Ce n’est pas la première fois que la sécurité des services de Microsoft est remise en cause ces derniers temps. La firme de Redmond a dû faire face à plusieurs problèmes majeurs :
- En 2023, la Chine a réussi à voler des emails du gouvernement américain depuis les serveurs de Microsoft
- En janvier 2024, des hackers russes ont piraté les boîtes mail de top managers Microsoft
- Microsoft n’aurait pas tenu compte d’avertissements sur une faille critique exploitée dans l’affaire SolarWinds
L’avenir de la sécurité chez Microsoft en question
Suite à ces incidents à répétition, les pratiques de Microsoft en matière de sécurité sont pointées du doigt. Brad Smith, le président, a dû s’expliquer devant le Congrès et s’est engagé à faire de la cybersécurité une priorité absolue pour l’entreprise.
Microsoft pourrait bien avoir remarqué mon tweet car quelques heures plus tard, ils ont rouvert un de mes signalements vieux de plusieurs mois.
– Vsevolod Kokorin, chercheur en sécurité
Reste à voir si les récentes déclarations se traduiront en actes. En attendant, les utilisateurs doivent redoubler de vigilance face aux emails suspects, même ceux qui semblent provenir d’adresses Microsoft légitimes. La faille n’ayant pas encore été corrigée, le risque zéro n’existe pas. Une meilleure communication avec les chercheurs en sécurité semble également indispensable pour éviter qu’une telle situation ne se reproduise.