Harry Sintonen, un consultant et un chercheur en sécurité chez WithSecure, anciennement connu sous le nom de F-Secure Business, a découvert en janvier 2022 une faille dans Microsoft Office 365 Message Encryption (OME), permet aux entreprises d’envoyer des e-mails chiffrés en interne et en externe. Microsoft n’ayant, depuis, publié aucun correctif, l’éditeur spécialiste en cybersécurité conseille d’éviter son utilisation…
WithSecure vient de publier cet avis de sécurité sur le sujet. “OME permet aux entreprises d’envoyer des e-mails chiffrés en interne et en externe. Cette solution utilise l’implémentation Electronic Codebook (ECB) – un mode de fonctionnement connu pour laisser fuiter certaines informations structurelles sur les messages“, explique-t-il.
En collectant suffisamment d’e-mails OME, des hackers peuvent déduire partiellement ou totalement le contenu des messages. Pour ce faire, ils doivent analyser l’emplacement et la fréquence des séquences répétées dans les messages individuels, puis faire correspondre ces séquences à celles trouvées dans d’autres e-mails et fichiers OME. « Les hackers qui parviennent à mettre la main sur plusieurs messages peuvent utiliser les informations ECB fuitées pour déchiffrer le contenu de ces messages. Plus le hacker dispose d’un nombre important d’e-mails, plus ce processus est facile et précis. Ils peuvent mener cette opération en mettant la main sur des archives d’e-mails volés lors de violations de données, en s’introduisant sur un compte ou un serveur de messagerie, ou encore en accédant aux sauvegardes », précise Harry Sintonen.
Les hackers peuvent mener une analyse tout en étant hors ligne, et donc compromettre des archives d’anciens messages. Malheureusement, les entreprises n’ont aucun moyen d’empêcher un hacker en possession des e-mails d’en compromettre le contenu en utilisant cette méthode. Il n’est pas non plus nécessaire de connaître les clés de chiffrement pour effectuer l’analyse. Et l’utilisation d’un système BYOK (Bring Your Own Key) ne résout pas le problème, selon le chercheur.
Le risque d’accès à des e-mails existants demeure
L’absence de correctif publié par Microsoft et de mode de fonctionnement plus sécurisé pour les administrateurs de messagerie ou les utilisateurs pousse ainsi WithSecure à recommander de pas utiliser OME pour assurer la confidentialité des e-mails. Cependant le risque que des hackers accèdent à des e-mails existants déjà chiffrés avec OME demeure, détaille le chercheur.
« Toute entreprise dont le personnel utilisait OME pour chiffrer les e-mails est coincée. Pour celles qui sont soumises à des exigences de confidentialité dans le cadre de contrats ou de réglementations locales, cela peut créer des problèmes. Et il y a, évidemment, les risques liés au vol de données lui-même, ce qui en fait un souci majeur pour les organisations », a s’inquiète Harry Sintonen.