Fin janvier, Microsoft proposaitMicrosoft Outlook, une version mobile de son célèbre client de messagerie.
Malgré tous ses atouts, il semblerait que le programme soit un peu trop curieux, voire à la limite de ce qu'on peut accepter d'une app censée simplement permettre la lecture de ses e-mails et la connexion à un serveur distant.
Voici l'extrait d'un message envoyé à une grande université ces derniers jours à ses étudiants :
Cette application offre une expérience utilisateur améliorée par rapport aux clients natifs. Elle est pleinement compatible avec toutes les fonctionnalités offertes par le service de messagerie officiel de l’Ecole, Microsoft Exchange.
Cependant, une analyse technique détaillée de cette application a montré que les identifiants personnels (nom d’utilisateur et mot de passe ****[) qui y étaient insérés se voient stockés dans le nuage de Microsoft et sous une forme réversible. Plus grave encore, il semblerait que tous les courriels reçus/envoyés passent par les serveurs de Microsoft et que ces derniers n’hésiteraient pas à « siphonner » tous vos contacts et rendez-vous.
Ce comportement constitue une utilisation abusive de notre système d’information. Nous avons déjà mis en place des mesures techniques au niveau du serveur de messagerie afin d’interdire toute connexion relative à cette application de la part des serveurs de Microsoft. Nous avons besoin de votre collaboration et nous vous invitons à ne pas installer cette application sur vos différents matériels pour l’instant.
Dans la conditions d'utilisations du programme (en anglais), nous avons bel et bien la confirmation que Microsoft envoie les données de calendrier et de contact sur ses serveurs, et même les pièces jointes et les identifiants !
Similarly, the service retrieves [g]the calendar data and address book contacts associated with your email account [/g]and securely pushes those to the app on your device. Those messages, [g]calendar events, and contacts[/g], along with their associated metadata, may be t[g]emporarily stored and indexed securely both in our servers [/g]and locally on the app on your device. If your [g]emails have attachments[/g] and you request to open them in our app, the service retrieves them from the mail server, [g]securely stores them temporarily on our servers[/g], and delivers them to the app.
Vous l'avez lu (ou pas, étant donné l'absence de traduction), Redmond nous assure que tout ceci est sécurisé et temporaire, mais tout de même ! Quel est le besoin réel de passer par des serveurs tiers pour une application censée être un client de serveurs déjà en place ?
