Ces recherches ont été effectuées sur la dernière version d’Outlook 2021, avec les dernières mises à jour de sécurité installées en novembre 2023, dans des environnements Outlook + Exchange Server typiques/par défaut.

L’évident : le vecteur d’attaque des hyperliens
Dans ce vecteur d’attaque, les attaquants envoient des e-mails contenant des hyperliens web malveillants. Il suffit qu’ils cliquent sur ces liens pour que les utilisateurs se retrouvent sur des sites de phishing, déclenchent des exploits de navigateur ou même activent des exploits de type zero-day très techniques. Malgré cette apparente simplicité, c’est davantage dans les navigateurs que dans Outlook lui-même que se situent les risques de sécurité. Outlook privilégie la facilité d’utilisation et reconnaît que confirmer chaque clic sur un lien hypertexte s’avérerait peu pratique. Les utilisateurs sont invités à utiliser des navigateurs performants et à être vigilants à l’égard des attaques de phishing.

Le classique : le vecteur d’attaque de pièces jointes
Les attaquants misent sur le comportement classique des utilisateurs qui ouvrent les pièces jointes d’un e-mail. Lorsqu’un utilisateur double-clique sur une pièce jointe, Outlook essaie de lancer l’application par défaut pour ce type de fichier sous Windows. Le risque de sécurité dépend de la solidité de l’application recommandée pour le type de fichier joint. Si le type de fichier est marqué comme "non sûr", Outlook le bloque. Dans le cas des types de fichiers non classifiés, les utilisateurs sont invités à double cliquer pour confirmer. La prudence est de mise et les utilisateurs doivent éviter de cliquer rapidement sur le bouton "Ouvrir" des pièces jointes dont les sources ne sont pas fiables.

L’avancé : le vecteur d’attaque pour la lecture d’e-mails et d’objets spéciaux

Vecteur d’attaque de lecture d’e-mails
Également connu sous le nom d’attaque par « volet de prévisualisation », ce vecteur constitue une menace pour les utilisateurs lorsqu’ils lisent des e-mails dans Outlook. Certaines vulnérabilités peuvent se manifester lors du traitement de différents formats d’e-mail, tels que HTML et TNEF Pour une meilleure sécurité, il est recommandé de configurer Outlook pour qu’il ne lise que les e-mails en texte brut, même si cela peut nuire à la convivialité puisque ce type d’e-mails ne permet pas de voir les liens et les images.
Ce vecteur d’attaque avancé consiste à exploiter des vulnérabilités de type zero day, comme dans le cas de CVE-2023-23397. Les attaquants peuvent compromettre Outlook en envoyant un « rappel » malveillant, qui déclenchera la vulnérabilité lorsque l’utilisateur ouvrira Outlook et se connectera au serveur d’e-mail. La victime n’a pas besoin de lire l’e-mail pour que l’attaque se déclenche. C’est dire à quel point il est important de mettre à jour les systèmes de sécurité quand il le faut et de se montrer prudent quand on les utilise.
La protection des utilisateurs d’Outlook demande une approche complexe et variée, en fin de compte. Nous leur conseillons d’éviter de cliquer sur des liens inconnus, de faire preuve de prudence lorsqu’ils ouvrent des pièces jointes qu’ils reçoivent de sources non fiables, et de veiller à ce que la suite Office de Microsoft soit toujours actualisée avec ses dernières versions et mises à jour.