Questions sur la sécurité d’Outlook mobile

Dans un billet de blog, René Winkelmeyer sonne l’alarme : Outlook pour iOS « va casser la sécurité de vos entreprises pour l’accès mobile » à la messagerie et aux outils d’organisation personnelle « de nombreuses façons ».

Et de commencer par s’insurger contre l’une des fonctions phare d’un outil appelé Acompli jusqu’à son rachat par Microsoft en décembre dernier : l’intégration des services de stockage en ligne OneDrive, Dropbox et Google Drive. « Cela signifie qu’un utilisateur peut configurer son compte personnal au sein de l’application et partager toutes les pièces jointes de ses e-mails en utilisant ces services, ou utiliser des fichiers de ces services au sein de la messagerie de l’entreprise. C’est un cauchemar de sécurité », résume le développeur de l’allemand Midpoints, spécialiste des solutions de travail collaboratif d’IBM.

Pire, explique René Winkelmeyer : alors que chaque client ActiveSync est censé utiliser un identifiant unique, afin d’être aisément distingué dans le cadre des opérations d’administration, Outlook pour iOS utilise le même identifiant pour chaque appareil sur lequel il est installé : « il semble n’y avoir qu’un appareil ».

Surtout, le développeur explique que « Microsoft va obtenir et stocker les identifiants de vos comptes de messagerie si vous utilisez l’application Outlook pour iOS ». Qui plus est, comme l’expliquaient les créateurs d’Acompli, l’application s’adosse à un « service qui indexe et accélère la fourniture de vos e-mails sur votre appareil. Cela signifie que notre service collecte vos messages et les poussent de manière sécurisée à l’application sur votre appareil ». Même chose pour les événements de l’agenda : « ces messages, événements et contacts, ainsi que les métadonnées qui leur sont associées, peuvent être temporairement stockés et indexés de manière sécurisée tant sur nos serveurs que localement, sur l’application de votre appareil ».

Paul Cunningham, administrateur Exchange, s’inquiète également. Pour lui, Microsoft stocke des identifiants et cela pose la question des conditions de leur stockage. Mais des données sont stockées sur des serveurs aux Etats-Unis, et la fourniture d’identifiants à des tiers peut « violer des règles d’usage » de DSI. Paul Cunningham explique alors comment configurer un serveur Exchange en utilisant des règles d’accès ActiveSync pour empêcher l’utilisation d’Outlook pour iOS et Android avec un serveur d’entreprise.