Un chercheur en cybersécurité a trouvé une faille de taille chez Outlook, permettant d’envoyer un mail en usurpant l’identité de n’importe quel utilisateur. Le chercheur en cybersécurité russe répondant sur X au pseudonyme de Slonser a découvert une faille de taille sur Outlook. Celle-ci permettrait de se faire passer pour n’importe quel utilisateur. Inutile de dire qu’avec ceci, l’usurpation d’identité en ligne est extrêmement aisée. I want to share my recent case:> I found a vulnerability that allows sending a message from any user@domain> We cannot reproduce it > I send a video with the exploitation, a full PoC > We cannot reproduce itAt this point, I decided to stop the communication with Microsoft. pic.twitter.com/mJDoHTn9Xv — slonser (@slonser_) June 14, 2024 Après avoir directement contacté Microsoft, Slonser s’est tout simplement pris une fin de non-recevoir : la firme de Redmond étant incapable de reproduire la faille, elle n’a pas jugé la menace réelle. Mais après un peu d’insistance, il semblerait bien que Microsoft ait finalement changé sa position, et s’intéresse de près à la question. Quoiqu’il en soit, en attendant l’annonce d’un correctif, mieux vaut donc franchement se méfier : si un des conseils souvent donnés pour reconnaître le Phishing est de vérifier l’adresse mail, dans ce cas précis, les escrocs pourraient utiliser l’adresse réelle de l’organisme dont ils usurpent l’identité. Il faudra donc pour le moment avoir recours à des méthodes liées aux contenus mêmes des mails. Contiennent-ils des affirmations extraordinaires ? Vous renvoient-ils vers des liens ? Vérifiez alors l’adresse desdits liens (sans cliquer, en survolant ceux-ci avec votre souris), pour voir s’ils correspondent au site réel de l’envoyeur. Quand l’adresse email ne suffit plus à identifier les arnaqueurs, mieux vaut redoubler de prudence…