Évoquant « de graves problèmes de sécurité », le département informatique du Parlement européen, DG ITEC, a interdit aux membres de l'institution d'utiliser les dernières apps Outlook pour iOS et Android de Microsoft disponibles depuis une semaine. En réalité, ces apps sont une version rebaptisée d'un logiciel de messagerie développée par Acompli, entreprise rachetée par Microsoft en décembre dernier pour 200 millions de dollars. Dès vendredi, le département informatique du Parlement a bloqué l'accès aux apps pour protéger la confidentialité et la vie privée des utilisateurs. « Vous êtes priés de ne pas installer cette application, et au cas où vous l'avez déjà installée pour accéder à votre messagerie professionnelle, nous vous demandons de la désinstaller immédiatement et de changer votre mot de passe », indique le courriel envoyé par DG ITC, auquel nos confrères d'IDG News Service ont pu avoir accès. Le motif : « les applications envoient sans permission des informations de mot de passe à Microsoft et stockent les courriels dans un service cloud de tierce partie sur lequel le Parlement n'a aucun contrôle », indique DG ITEC dans un message publié sur le réseau intranet du Parlement.

Essentiellement, la dernière app Outlook de Microsoft fait office de boîte de réception de messagerie pour les comptes Exchange, Outlook, iCloud, Google et Yahoo Mail. Le service récupère les messages entrants et sortants, les données de calendrier et les contacts du carnet d'adresses puis les communique de façon sécurisée à l'application. Ces messages, événements de calendrier et contacts ainsi que les métadonnées associées, « peuvent être stockés temporairement et indexés en toute sécurité à la fois sur nos serveurs et dans l'application résidant en local sur le terminal », selon la politique de confidentialité d'Acompli. Les pièces jointes peuvent également être stockées de façon temporaire sur ses serveurs.

Des entreprises également vent debout contre Outlook pour iOS et Android

« Les comptes de messagerie qui utilisent Microsoft Exchange demandent aux utilisateurs de fournir des informations de connexion, comme le nom d'utilisateur, le mot de passe, l'URL du serveur, et le domaine de serveur », stipulent encore les conditions d'utilisation, indiquant par ailleurs que « d'autres comptes comme Google Gmail qui utilisent le système d'autorisation OAuth n'ont pas besoin de stocker le mot de passe ». Les informations d'identification de chaque utilisateur sont doublement cryptées avec une clé serveur unique pour chaque compte, et une clé unique sur la machine cliente, si bien que, selon la page de sécurité de Acompli, « pour que l'application fonctionne, il faut l'autorisation concomitante de celle-ci et du serveur pour débloquer la connexion ».

Le Parlement européen n'est pas le seul à penser que le système n'est pas assez sécurisé. Plusieurs entreprises ont également interdit cette app Outlook à cause du stockage des mots de passe. Ainsi, la semaine dernière, l'Université du Wisconsin a annoncé qu'elle la bloquerait à partir de ce lundi. « La gestion des informations de connexion des boutiques en ligne dans le cloud présente clairement un risque de sécurité parce que le service cloud n'est pas supervisé par l'Université », explique l'institution dans un blog, ajoutant que d'autres universités ont fait état de situations similaires. Aux Pays-Bas, l'Université technologique de Delft aurait également commencé à bloquer les applications, car elles stockent des données de contact et des mots de passe dans le cloud. Un porte-parole de Microsoft a déclaré que les capacités de sécurité et de confidentialité de l'application, ainsi que leur contrôle par les administrateurs IT, répondent aux contraintes statutaires. « Si les clients s'inquiètent de ces modalités, ils peuvent suivre les préconisations pour le contrôle de l'accès à un dispositif sur Microsoft TechNet pour bloquer l'application et continuer à utiliser l'Outlook Web Access (OWA) sur iPhone, iPad, et Android », a ajouté le porte-parole.