Il n’existe encore aucun correctif pour cette vulnérabilité qui peut entraîner la divulgation d’informations confidentielles.
Tribune – WithSecure™ (anciennement connu sous le nom de F- Secure Business) a publié aujourd’hui un avis de sécurité concernant une faille dans Microsoft Office 365 Message Encryption (OME).
OME permet aux entreprises d’envoyer des e-mails chiffrés en interne et en externe. Cette solution utilise l’implémentation Electronic Codebook (ECB) – un mode de fonctionnement connu pour laisser fuiter certaines informations structurelles sur les messages.
En collectant suffisamment d’e-mails OME, des hackers peuvent déduire partiellement ou totalement le contenu des messages. Pour ce faire, ils doivent analyser l’emplacement et la fréquence des séquences répétées dans les messages individuels, puis faire correspondre ces séquences à celles trouvées dans d’autres e-mails et fichiers OME.
« Les cybercriminels qui parviennent à mettre la main sur plusieurs messages peuvent utiliser les informations ECB fuitées pour déchiffrer le contenu de ces messages. Plus le cybercriminels dispose d’un nombre important d’e-mails, plus ce processus est facile et précis. Ils peuvent mener cette opération soit en mettant la main sur des archives d’e-mails volés lors de violations de données, soit en s’introduisant sur un compte ou un serveur de messagerie, soit en accédant aux sauvegardes », explique Harry Sintonen, consultant et chercheur en sécurité chez WithSecure™, qui a découvert le problème.
Les cybercriminels peuvent mener une analyse tout en étant hors ligne : ils peuvent donc compromettre des archives d’anciens messages. Malheureusement, les entreprises n’ont aucun moyen d’empêcher un hacker en possession des e-mails d’en compromettre le contenu en utilisant cette méthode.
Il n’est pas non plus nécessaire de connaître les clés de chiffrement pour effectuer l’analyse. Et l’utilisation d’un système BYOK (Bring Your Own Key) ne résout pas le problème.
Harry Sintonen a partagé ses recherches avec Microsoft en janvier 2022. Microsoft a reconnu le problème et a rétribué Harry Sintonen via le programme de l’entreprise récompensant la découverte de vulnérabilités. Aucun correctif n’a cependant été publié.
Les entreprises peuvent choisir de renoncer à utiliser cette fonctionnalité mais le risque que des cybercriminels accèdent à des e-mails existants déjà chiffrés avec OME demeure.
« Toute entreprise dont le personnel utilisait OME pour chiffrer les e-mails est coincée. Pour celles qui sont soumises à des exigences de confidentialité dans le cadre de contrats ou de réglementations locales, cela peut créer des problèmes. Et il y a, évidemment, les risques liés au vol de données lui-même, ce qui en fait un souci majeur pour les organisations », a déclaré Harry Sintonen.
Il n’existe donc pas de correctif publié par Microsoft, et aucun mode de fonctionnement plus sécurisé n’est disponible pour les administrateurs de messagerie ou les utilisateurs. De ce fait, WithSecure™ recommande d’éviter d’utiliser OME pour assurer la confidentialité des e-mails.
L’avis complet publié par WithSecure Labs est disponible ici.