<img src="https://ad.doubleclick.net/ddm/activity/src=11631230;type=pagevw0;cat=pw_allpg;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;npa=;gdpr=${GDPR};gdpr_consent=${GDPR_CONSENT_755};ord=1;num=1?" width="1" height="1" alt=""> La question que tout le monde se pose : le chiffrement des messages Microsoft Office (OME) est-il vulnérable ?
FR Blog
Sécurité des e-mails
Chiffrement
Microsoft
octobre 31, 2022

La question que tout le monde se pose : le chiffrement des messages Microsoft Office (OME) est-il vulnérable ?

Matt Howard
Par Matt Howard

TABLE OF CONTENTS

    { content.featured_image.alt }}

    Votre activité repose-t-elle sur Microsoft Office 365 ? Utilisez-vous la fonctionnalité native Office Messaging Encryption (OME) de Microsoft pour protéger les données sensibles partagées dans les e-mails ? Avez-vous lu l’un des reportages publiés la semaine dernière à ce sujet, notamment celui de Bill Toulas sur Bleeping Computer ou encore celui de Nathan Eddy sur Dark Reading ?

    Si oui, vous vous posez probablement la question suivante : Mes e-mails chiffrés par Microsoft sont-ils sécurisés, ou bien sont-ils au contraire vulnérables ?

    Pour rappel, Microsoft Office 365 Message Encryption est utilisé au sein de la suite Office pour « aider à réduire le risque de divulgation involontaire en chiffrant et en protégeant les messages électroniques envoyés à l’intérieur et à l’extérieur de votre organisation. »

    Chronologie des événements

    Selon certains témoignages, des interrogations concernant la sécurité de Microsoft OME ont émergé dans des communications privées en janvier 2022 lorsque des chercheurs en sécurité de WithSecure ont informé Microsoft de la présence d’une faille de sécurité importante dans Microsoft Office 365 Message Encryption, qu’ils ont par ailleurs démontrée. La vulnérabilité elle-même est due au fait que Microsoft OME utilise un mode de fonctionnement de chiffrement par blocs appelé Electronic Code Book (ECB). Microsoft a bien pris en compte ce signalement et payé à WithSecure une prime aux bogues.

    Au bout de plusieurs mois, et après des enquêtes répétées sur l’état de la vulnérabilité, Microsoft a fini par rendre la conclusion suivante à WithSecure : « Le signalement n’a pas été considéré comme justifiant une maintenance relative à la sécurité, ni comme étant associé à une violation. Comme aucune modification n’a été apportée au code, aucune déclaration de CVE n’a été émise pour ce signalement. » Par la suite, le 14 octobre 2022, WithSecure a rendu publique son étude sur la vulnérabilité présente au sein de la fonctionnalité Microsoft Office 365 Message Encryption.

    Demande de commentaires de la NIST

    Dans le même temps, la National Institute of Standards and Technology (NIST) a formulé une demande de commentaires publics au sujet de la norme SP 800-32A, Recommendation for Block Cipher Modes of Operation: Methods and Techniques. Deux collaborateurs de Microsoft ont formulé des commentaires se rapportant spécifiquement au mode de fonctionnement ECB, en indiquant ceci : « Nous sommes entièrement d’accord sur le fait que ECB constitue un mauvais mode de chiffrement par blocs pour le chiffrement des messages. L’utilisation du mode ECB dans le cadre du chiffrement des messages a été interdite dans nos produits dès la mise en place de notre première norme de chiffrement interne, en 2005. Il reste toutefois largement utilisé dans de nombreuses autres situations où il est parfaitement sécurisé et constitue la meilleure option disponible. » Les collaborateurs de Microsoft ont conclu ainsi leur contribution : « En bref, dans le cadre du développement de code, cela fait quarante ans que nous avons largement recours à l’ECB. L’utilisation du mode ECB à proprement parler pour le chiffrement des messages est maintenant interdite depuis longtemps, mais il reste largement employé dans les types de scénarios énumérés ci-dessus. »

    Une alternative à Microsoft OME sûre et sécurisée

    Lors de la journée mondiale du chiffrement, j’ai rencontré mon collègue Dana Morris, vice-président directeur des produits et de l’ingénierie de Virtru, pour discuter de la situation actuelle du chiffrement, en abordant notamment la vulnérabilité détectée chez Microsoft. Vous pouvez regarder notre échange ci-dessous. 16:

     

    Actuellement, les conseillers en sécurité et même les déclarations de Microsoft préconisent de ne pas utiliser la fonctionnalité de chiffrement des messages d’Office 365 dans l’optique de protéger des données vitales ou sensibles. Dans un e-mail adressé à The Register, un porte-parole de Microsoft a déclaré : « La fonctionnalité de gestion des droits est conçue comme un outil pour prévenir les abus accidentels et ne constitue pas un garde-fou en matière de sécurité. »

    Alors, que pouvez-vous donc faire ? Vous pouvez rejoindre les plus de 2 000 autres organisations qui font confiance à Virtru pour leur fournir des solutions de confidentialité des données abordables et simples à utiliser qui complètent Microsoft Office 365. Contrairement à la solution de chiffrement OME native de Microsoft, les produits de Virtru utilisent le chiffrement en mode AES 256 GCM et ne sont donc pas soumis à la même vulnérabilité ECB que Microsoft OME.

    Si votre organisation utilise Microsoft Office 365 et que vous avez des questions sur la conformité réglementaire, la sécurité des données ou la confidentialité des données, contactez Virtru dès aujourd’hui.

    Matt Howard

    Matt Howard

    A proven executive and entrepreneur with over 25 years experience developing high-growth software companies, Matt serves as Virtu’s CMO and leads all aspects of the company’s go-to-market motion within the data protection and Zero Trust security ecosystems.

    View more posts by Matt Howard