Comment un bug Outlook ennuyeux facilite des escroqueries très dangereuses

Comment un bug Outlook ennuyeux facilite des escroqueries très dangereuses
Comment un bug Outlook ennuyeux facilite des escroqueries très dangereuses

Un expert en cybersécurité a découvert un bug gênant dans la plateforme de messagerie de Microsoft. Ce dernier permet de changer l’adresse de l’expéditeur d’une lettre pour lui donner un air de légitimité.

Source : Frandroïde

Parfois, pour attirer l’attention des grandes entreprises, il faut faire de grands efforts. C’est la leçon retenue par Vsevolod Kokorin, un expert en cybersécurité qui a voulu alerter Microsoft sur l’existence d’une faille très inquiétante dans sa plateforme de messagerie Outlook.

Comme dit TechCrunch, l’outil Microsoft permet à un acteur malveillant d’envoyer un email en utilisant, apparemment, n’importe quel identifiant et n’importe quel nom de domaine. Ainsi, la personne qui se fait appeler « Slonser » sur X s’est par exemple usurpée de l’identité de la branche sécurité de Microsoft en envoyant un email semblant provenir de l’adresse «[email protected]».

Phishing réel

Dans l’état actuel des choses, un tel bug pourrait permettre à n’importe qui de se faire passer pour un acteur de confiance, en utilisant une adresse e-mail qui semble légitime. Une arme de destruction massive pour le phishing en somme puisqu’elle permettrait, par exemple, d’envoyer des emails convaincants venant de «[email protected]» ou le domaine « @dgfip.finances.gouv. fr » vous demandant, pourquoi pas, de l’argent.

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Twitter.
Pour pouvoir le consulter, vous devez accepter l’utilisation faite par Twitter de vos données qui pourront être utilisées aux fins suivantes : vous permettre de visualiser et de partager du contenu avec les réseaux sociaux, promouvoir le développement et l’amélioration des produits de Humanoid et de ses partenaires, vous afficher des publicités personnalisées en fonction de votre profil et de votre activité, définir un profil publicitaire personnalisé, mesurer les performances des publicités et des contenus de ce site et mesurer l’audience de ce site (en savoir plus)

j’accepte tout

Gérer mes choix

Si Vsevolod Kokorin n’a pas détaillé le fonctionnement de cette faille, pour éviter qu’elle neest utilisé à des fins illégales», on sait quand même que le bug concerne spécifiquement les utilisateurs d’Outlook et que les autres fournisseurs de messagerie sont, a priori, immunisés. Même si Outlook n’a pas la popularité de Gmail, la plateforme est toujours utilisée par 400 millions d’internautes, dont de nombreuses entreprises. Une telle faille pourrait donc avoir des conséquences extrêmement graves.

Microsoft refuse de réagir

Ayant contacté Microsoft une première fois pour signaler le problème, Slonser a été rejeté sous prétexte que l’entreprise ne parvenait pas à reproduire le bug. Après une seconde alerte et une seconde absence de réponse de Microsoft, le spécialiste a posté une image sur X illustrant le problème. Le message a immédiatement attiré l’attention de nombreux spécialistes du domaine et a donné lieu à quelques articles dans des médias spécialisés.

Face au brouhaha naissant, Microsoft a finalement reconnu l’existence du problème et s’est lancé dans un marathon de publication de correctifs pour son outil de messagerie. “Je suis épuisé par le comportement de Microsoft», a encore dénoncé Vsevolod Kokorin, expliquant que d’autres grandes entreprises, notamment Google, avaient réagi plus promptement lorsque des failles leur avaient été révélées.


 
For Latest Updates Follow us on Google News
 

NEXT OpenAI lance un GPT critique pour corriger GPT-4 – .