Les laboratoires de la société de sécurité WithSecure ont une mauvaise nouvelle : le cryptage utilisé pour les e-mails dans Microsoft Office 365 n'est pas sécurisé car il présente une faille de sécurité. Selon WithSecure, Microsoft ne prévoit pas de corriger la vulnérabilité, bien que le National Institute of Standards and Technology NIST répertorie la vulnérabilité comme grave dans sa base de données de vulnérabilités.
Microsoft Office 365 Message Encryption (OME) utilise le mode de fonctionnement ECB (Electronic Codebook). Ce mode est généralement non sécurisé et peut révéler des informations sur la structure des messages envoyés, ce qui peut entraîner une divulgation partielle ou complète du message. Comme dans le "Annonce de proposition de révision de la publication spéciale 800-38A" Le NIST déclare : « Dans la base de données nationale des vulnérabilités (NVD) du NIST, l'utilisation de l'ECB pour chiffrer des informations sensibles représente une grave vulnérabilité de sécurité ; voir par exemple CVE-2020-11500 . »
Méthode de chiffrement non sécurisée
Microsoft Office 365 fournit une méthode pour envoyer des messages chiffrés. Cette fonctionnalité est annoncée pour permettre aux organisations d'envoyer et de recevoir en toute sécurité des messages électroniques chiffrés entre des personnes à l'intérieur et à l'extérieur de votre organisation. Malheureusement, les messages OME sont cryptés dans le mode de fonctionnement ECB (Electronic Codebook) non sécurisé.
Les tiers malveillants qui accèdent aux e-mails cryptés peuvent être en mesure d'identifier le contenu des messages, car la BCE révèle certaines informations structurelles des messages. Cela conduit à une perte potentielle de confidentialité.
Cryptage : les pièces jointes aux e-mails peuvent être analysées
🔎 Impressionnante astuce : une image extraite d'un e-mail protégé par le chiffrement des messages Office 365 (Image : WithSecure).
Étant donné que les messages cryptés sont envoyés sous forme de pièces jointes régulières, les messages envoyés peuvent avoir été stockés dans différents systèmes de messagerie et interceptés par n'importe quelle partie entre l'expéditeur et le destinataire. Un attaquant avec une grande base de données de messages peut déduire son contenu (ou des parties de celui-ci) en analysant les positions relatives des sections répétées des messages interceptés.
La plupart des messages chiffrés OME sont affectés et l'attaque peut être effectuée hors ligne sur tout message chiffré précédemment envoyé, reçu ou intercepté. L'organisation n'a aucun moyen d'empêcher l'analyse des messages déjà envoyés. Même l'utilisation des fonctions de gestion des droits ne résout pas le problème.
En fonction du contenu envoyé via des messages cryptés, certaines organisations peuvent avoir besoin de prendre en compte les implications juridiques de la vulnérabilité. Il est possible que la vulnérabilité ait entraîné des implications sur la vie privée, comme décrit dans le Règlement général sur la protection des données (RGPD) de l'UE, le California Consumer Privacy Act (CCPA) ou une législation similaire.
Erreur : Blocs de chiffrement répétés
Le mode de fonctionnement ECB (Electronic Codebook) signifie que chaque bloc de cryptage est crypté individuellement. Les blocs répétés du message en clair sont toujours mappés sur les mêmes blocs de texte chiffré. En pratique, cela signifie que le texte brut réel n'est pas révélé directement, mais les informations sur la structure du message le sont.
Même si un message particulier ne révélait pas directement des informations de cette manière, avec un grand nombre de messages, un attaquant est capable d'effectuer une analyse de la relation des modèles répétés dans les fichiers pour identifier des fichiers spécifiques. Cela peut conduire à la possibilité de dériver (des parties de) texte en clair à partir de messages chiffrés. La connaissance de la clé de chiffrement n'est pas nécessaire pour exploiter cette vulnérabilité et, par conséquent, apportez votre propre clé (BYOK) ou des protections de clé de chiffrement similaires ne nécessitent aucune mesure corrective.
Pas de remède en vue de Microsoft
Après des demandes répétées sur l'état de la vulnérabilité, Microsoft a finalement répondu comme suit : "Le rapport n'a pas été considéré comme répondant aux exigences du service de sécurité et n'est pas considéré comme une violation. Aucun changement de code n'a été effectué et, par conséquent, aucun CVE n'a été émis pour ce rapport.
L'utilisateur final ou l'administrateur du système de messagerie n'a aucun moyen d'imposer un mode de fonctionnement plus sécurisé. Étant donné que Microsoft ne prévoit pas de corriger cette vulnérabilité. La seule solution au problème consiste à cesser d'utiliser le chiffrement des messages Microsoft Office 365 et à utiliser une autre solution.
WithSecure, anciennement F-Secure Business, propose une description technique plus détaillée du problème sur son site Web.
Plus sur WithSecure.com
À propos de WithSecure WithSecure, anciennement F-Secure Business, est le partenaire de confiance en matière de cybersécurité. Les fournisseurs de services informatiques, les fournisseurs de services de sécurité gérés et d'autres entreprises font confiance à WithSecure - tout comme les grandes institutions financières, les entreprises industrielles et les principaux fournisseurs de technologies et de communication. Avec son approche de la cybersécurité axée sur les résultats, le fournisseur de sécurité finlandais aide les entreprises à mettre la sécurité en relation avec les opérations, à sécuriser les processus et à prévenir les interruptions d'activité.