Le nouveau client Outlook de Microsoft déplace silencieusement votre courrier électronique vers le cloud

Microsoft a récemment introduit un nouvelle version d'Outlook sur PC Windows. Il a été conçu pour remplacer Windows Mail vieillissant et Outlook classique, il introduit donc une nouvelle fonctionnalité astucieuse. conception et intégrations cloud beaucoup plus étroites tout en combinant votre courrier électronique et votre calendrier en un seul application. Il introduit également de nouvelles fonctionnalités d'IA générative, notamment des aides à l'écriture et « d'autres fonctionnalités d'IA avancées ».

Cependant, l’application présente également de sérieux problèmes de confidentialité. Basé sur une recherche du blog allemand heise.de, que nous avons pu reproduire chez XDA, il semble que la nouvelle application Outlook soit beaucoup plus étroitement intégré au cloud que ce à quoi un utilisateur pourrait s'attendre, ouvrant ainsi la portée des données Microsoft potentielles collection. Cela représente un problème important en matière de confidentialité. Microsoft doit donc répondre à de nombreuses questions concernant les attentes des utilisateurs.

Ce que vous pouvez attendre du nouveau Outlook

L'e-mail reste toujours un e-mail, n'est-ce pas ?

La nouvelle version d'Outlook est disponible depuis début septembre et introduit de nombreuses nouveautés. L'application comprend déjà nouvelles fonctionnalités de Copilot AI, et Microsoft a déclaré qu'il avait l'intention que la nouvelle version d'Outlook remplace l'application Outlook existante d'ici deux ans. La société a également annoncé une liste plus large de fonctionnalités à venir, qui sera probablement annoncé dans les prochains mois (notamment autour des capacités de l’IA). La nouvelle application dispose également d'une nouvelle interface utilisateur, la rendant plus conforme aux versions cloud des applications bureautiques de Microsoft, ainsi qu'une intégration plus étroite avec d'autres services Office tels que Calendrier et Word.

La nouvelle version d'Outlook est désormais disponible sur le Microsoft Store sous le nom d'Outlook pour Windows. Une fois installée, l'application dans le menu Démarrer comme Outlook (nouveau).

Le nouveau Outlook a un comportement problématique

Vous ne réalisez peut-être pas à quoi vous vous inscrivez

Lors de la première ouverture du nouveau client Outlook, l'utilisateur est invité à se connecter comme n'importe quel autre client de messagerie. Si vous saisissez une adresse e-mail auprès d'un fournisseur commun, comme Gmail ou iCloud, le client utilisera un flux de travail Oauth2 pour s'authentifier auprès de votre navigateur. Si vous entrez un domaine tiers, vous serez invité à saisir un mot de passe IMAP (si pris en charge). Tout cela est tout à fait normal pour un client de messagerie.

Cependant, une fois authentifié, une fenêtre inoffensive s'affiche vous informant que vous devez utiliser la nouvelle version d'Outlook, Microsoft devra synchroniser vos e-mails, événements et contacts avec Microsoft Nuage. Une option d'annulation est disponible, mais il n'y a pas d'option pour refuser et continuer à utiliser votre client. UN lien d'assistance est fourni avec quelques informations supplémentaires, ce qui explique que l'accès active des fonctionnalités telles que la messagerie recherche, une boîte de réception ciblée ou des réunions récurrentes, mais ne fait aucune déclaration claire sur les limites de ces données collection.

À partir de cet avertissement, un utilisateur peut raisonnablement supposer que le client de messagerie auquel il se connecte continuer à agir en tant que client de messagerie et que le client puisse envoyer des données limitées pour traitement dans le nuage. Cependant, ce n'est pas le cas. Au lieu de l'authentification de votre client de messagerie, vos informations d'identification sont transmises au cloud Microsoft, qui s'authentifie en votre nom. À partir de ce moment, tous les traitements (y compris la récupération de vos e-mails) sont gérés dans le cloud. Nous n'avons pu observer aucun trafic circulant directement du client vers notre fournisseur de messagerie.

Cela est vrai pour les flux de travail OAuth et IMAP, mais est plus visible lors de l'authentification auprès d'un serveur IMAP tiers. Dans ce cas, le client Outlook utilise les informations d'identification IMAP fournies par votre fournisseur de messagerie pour accéder à l'application et les transfère directement vers le cloud de Microsoft via TLS. Nous pourrions reproduire cela en mettant en place un proxy transparent entre Internet et le client Outlook pour intercepter le trafic crypté. Dans la capture d'écran ci-dessous, le mot de passe de notre application généré par un fournisseur de messagerie tiers est partagé et stocké directement sur les serveurs de Microsoft. La réponse à cette demande est un jeton d'accès et d'actualisation utilisé pour maintenir une session authentifiée persistante avec les serveurs de Microsoft.

Est-ce un client de messagerie ou pas?

Outlook (nouveau) fait moins localement que vous ne le pensez

Le fournisseur de messagerie que nous utilisons pour cet exemple enregistre l'adresse IP et l'heure d'accès de chaque nouvelle connexion. Si le client Outlook communiquait directement avec notre serveur de messagerie (c'est-à-dire agissait comme un client le devrait), alors l'adresse IP enregistrée par le fournisseur de messagerie doit être la même que celle de l'ordinateur sur lequel nous exécutons Outlook sur. Dans chaque cas que nous avons essayé, aucune connexion n’a été enregistrée à partir de notre adresse IP personnelle. Au lieu de cela, les connexions IMAP/SMTP initiales provenaient d'une adresse IP 52.x.x.x. Une recherche rapide WHOIS montre que cette adresse IP est enregistrée auprès de Microsoft. Cela démontrerait que le « client » Outlook n’est rien de tout cela, agissant entièrement comme un wrapper autour des services cloud de Microsoft et que notre client local ne s’est jamais connecté du tout.

Le « client » Outlook n’a rien de tout cela, agissant entièrement comme un wrapper autour des services cloud de Microsoft.

Il y a ici un problème clair pour l’utilisateur. En se connectant simplement au nouveau client Outlook, un utilisateur a effectivement fourni au Microsoft Cloud un accès global et illimité à l'ensemble de son compte de messagerie. La seule mention de confidentialité par Microsoft sur la page d'assistance liée est un ensemble de liens vers sa déclaration de confidentialité et des contrats de service, qui permettent tous deux un accès global à vos données pour améliorer les produits Microsoft et prestations de service. Au moins lors de l'authentification avec OAuth2, la plupart des fournisseurs de messagerie proposent une sorte de résumé de confidentialité (similaire à l'exemple de Google ci-dessous). Lors de l'authentification avec IMAP, l'utilisateur reçoit normalement encore moins d'avertissements, la plupart des fournisseurs de messagerie supposant que les « clients » de messagerie agissent au moins comme des clients, et non comme des passerelles vers le cloud. Il est également important de noter qu'il n'existe aucun moyen évident de refuser cette intégration cloud lors de la connexion à un compte de messagerie ou d'utiliser le client dans un mode avec certaines fonctionnalités d'IA désactivées.

Le transfert de la fonctionnalité client de messagerie vers le cloud supprime également la possibilité pour les ingénieurs en sécurité ou les chercheurs d'inspecter facilement ce que fait le client. Il est possible de suivre les requêtes effectuées sur vos données auprès de Microsoft (bien que délicat, car un utilisateur devrait gérer son propre courrier électronique). serveur ayant accès à ses journaux), mais cela ne permet aucune indication sur la quantité de traitement supplémentaire, le cas échéant, lieu. Il est également important de se rappeler que cet accès est continu. Il n'est plus possible d'empêcher Microsoft d'accéder à vos e-mails en fermant simplement Outlook. Les utilisateurs peuvent se connecter à Outlook sur leur bureau pour le tester, décider qu'ils ne l'aiment pas et simplement arrêter de l'utiliser sans se déconnecter. Jusqu'à ce que l'utilisateur se déconnecte (ou révoque la session ailleurs), Microsoft conservera un accès continu à ses données.

Des précédents dangereux pour les données

Répartir la collecte de données sur les clients locaux pourrait être un pas de trop

La collecte de données est, en fin de compte, une chose à laquelle nous sommes tous habitués, que cela nous plaise ou non. Cependant, le manque de transparence de la part de Microsoft et le recours aux applications de bureau pour transférer les données des utilisateurs dans le cloud sont préoccupants. Les accords de licence subtilement acceptés par Microsoft permettent une collecte de données presque illimitée pour le amélioration ou création de nouveaux outils Microsoft, notamment en utilisant vos données de messagerie pour former l'IA générative ou d'autres outils.

Il n’est précisé à aucun moment que l’application de bureau Outlook agira exclusivement comme un wrapper services cloud ou quelles sont les limites et les circonstances dans lesquelles Microsoft accédera à vos données dans le nuage. Compte tenu de l'ampleur de la poussée de Microsoft vers de nouvelles intégrations d'IA basées sur le cloud et du manque d'assurance sinon, il est raisonnable de supposer que Microsoft utilise ce type de données à des fins de formation ou de test. fins.

Le manque de transparence de la part de Microsoft et le recours aux applications de bureau pour transférer les données des utilisateurs dans le cloud sont préoccupants.

Cela peut également constituer un problème sérieux pour les entreprises. Un utilisateur final d'entreprise pourrait involontairement fournir à Microsoft un accès à de grands volumes de données commerciales ou commercialement sensibles, éventuellement en violation des exigences réglementaires ou de sécurité. Si ces données étaient ensuite utilisées pour former des IA génératives ou d’autres modèles d’apprentissage automatique rendus publics, il est possible que certains aspects de ces données soient rendus accessibles à tous. Il s’agit d’un scénario extrême, mais les inquiétudes sont claires.

Que vous soyez un utilisateur expérimenté en entreprise, un administrateur système supervisant un réseau ou un utilisateur final Si vous recherchez un nouveau client de messagerie, il est important de connaître les implications en matière de confidentialité de la connexion avec Perspectives. Microsoft, tout en annonçant qu'il synchronisera les données avec le cloud, prend beaucoup plus de temps libertés auxquelles un utilisateur pourrait raisonnablement s'attendre compte tenu de l'étendue de son accès et du rôle du client dans tous.