Sécurité IT : Une application mobile problématique

© 2015 EPFL

© 2015 EPFL

Utilisation abusive du système d'information de l'EPFL : une nouvelle application de messagerie mobile offerte par Microsoft enregistre vos identifiants personnels et accède sans autorisation à tous vos contacts et rendez-vous.

Microsoft vient de mettre à disposition une nouvelle application de messagerie pour tous les smartphones et tablettes tournant sous Android et iOS [1], baptisée "Microsoft Outlook pour iOS" ou "Aperçu de Microsoft Outlook". Cette application offre une expérience utilisateur améliorée par rapport aux clients natifs. Elle est pleinement compatible avec toutes les fonctionnalités offertes par le service de messagerie officiel de l’Ecole, Microsoft Exchange.

Cependant, une analyse technique détaillée de cette application a montré que les identifiants personnels (nom d’utilisateur et mot de passe GASPAR) qui y étaient insérés se voient stockés dans le nuage de Microsoft et sous une forme réversible. Plus grave encore, il semblerait que tous les courriels reçus/envoyés passent par les serveurs de Microsoft et que ces derniers n’hésiteraient pas à "siphonner" tous vos contacts et rendez-vous.

Ce comportement constitue une utilisation abusive du système d’information de l'EPFL. L'équipe de la sécurité IT de la VPSI déjà mis en place des mesures techniques au niveau du serveur de messagerie afin d’interdire toute connexion relative à cette application de la part des serveurs de Microsoft. Votre collaboration est nécessaire et vous êtes invités à ne pas installer cette application sur vos différents matériels pour l’instant.

Si jamais le mal est déjà fait, l'équipe de sécurité IT vous prie de prendre contact avec le Service Desk de la VPSI (tél. 1234 ou 1234@epfl.ch) afin qu’ils vous guident dans les processus de désinstallation de cette application et du changement de votre mot de passe GASPAR.

[1]https://play.google.com/store/apps/details?id=com.microsoft.office.outlook et https://itunes.apple.com/app/id951937596