L’anomalie qui a touché Outlook aurait concerné la norme de cryptographie Secure/Multipurpose Internet Mail Extensions (S/MIME) proposée avec le service de Microsoft.
Plusieurs millions de courriels auraient été touchés sans que les utilisateurs soient au courant. Les courriels sensibles, censés être cryptés par le certificat électronique S/MIME avant leur envoi, auraient été transférés à leurs destinataires sans aucune sécurité, selon des analystes du SEC Consult qui en ont consacré au sujet un billet sur leur blog. Le contenu des courriels échangés et la garantie de l’authenticité des messages transférés auraient ainsi été lésés. L’anomalie aurait « entraîné la perte totale des propriétés de sécurité fournies par le cryptage S/MIME », selon le billet de blog. Le problème pourrait cependant être d’autant plus grave que les utilisateurs n’auraient pas été au courant de l’anomalie. Outlook aurait constamment affiché le message transféré comme crypté dans le dossier « éléments envoyés » du service de Microsoft. Des attaquants auraient par ailleurs pu intercepter les courriels échangés s’ils ont accès aux boîtes d’envois ou de réceptions de l’utilisateur. Kevin Beaumont, chercheur en sécurité, confirme cependant depuis mardi que Microsoft aurait déjà corrigé le problème grâce à une nouvelle version de correctifs de sécurité de l’entreprise. Les mises à jour sont par ailleurs disponibles via Windows Update et Office Update.