L'année dernière, Microsoft a indiqué qu'il travaillait sur un nouveau client de messagerie sous la marque Outlook. Le projet portait alors le nom de code « Project Monarch » et visait à créer une expérience de messagerie multiplateforme pour tous. À ce moment, il était indiqué que ce nouvel Outlook pouvait être présenté comme une renaissance de l'application Courrier et calendrier. Il existait alors de nombreuses façons de lancer Outlook sur Windows, c'est pourquoi Microsoft estimait qu'il est temps que son système d'exploitation dispose d'un client de messagerie vraiment universel.
En septembre, après les tests des Windows Insider, Microsoft a rendu son nouvel Outlook dopé à l'IA disponible pour tous :
Envoyé par Microsoft
Des avantages
Le nouveau Outlook pour Windows présente plusieurs avantages par rapport aux versions précédentes ou aux autres applications de messagerie. Parmi ces avantages, on peut citer :
- Une interface plus moderne et épurée, qui facilite la navigation et permet de se concentrer sur l’essentiel : lire et répondre aux e-mails.
- Une intégration renforcée avec les autres services de Microsoft, comme OneDrive, Teams ou Office 365, pour une meilleure productivité et une collaboration facilitée.
- Une expérience unifiée et cohérente sur tous les appareils, qu’il s’agisse de Windows, macOS, iOS ou Android.
- Une personnalisation poussée, avec plus de 50 thèmes et polices, des options d’affichage et des règles de messagerie.
- Une intelligence artificielle qui aide à rédiger des e-mails plus efficacement, avec des suggestions de texte, d’emojis, de fichiers et de contacts.
Le nouveau Outlook pour Windows est un outil performant et polyvalent, qui s’adapte aux besoins et aux préférences des utilisateurs. Il offre une nouvelle façon de gérer sa messagerie, son calendrier et ses contacts, en tirant parti des dernières technologies de Microsoft. Il est gratuit pour tous les utilisateurs de Windows 11, et sera le client par défaut pour les nouveaux appareils à partir de 2024.
Cependant, l'application présente également de sérieux problèmes de confidentialité
Il semble que la nouvelle application Outlook soit beaucoup plus étroitement intégrée au cloud qu'un utilisateur ne pourrait le penser, ouvrant ainsi la portée de la collecte potentielle de données Microsoft. Cela représente un problème important en matière de confidentialité. Microsoft doit donc répondre à de nombreuses questions concernant les attentes des utilisateurs.
Lors de la première ouverture du nouveau client Outlook, l'utilisateur est invité à se connecter comme n'importe quel autre client de messagerie. Si vous saisissez une adresse e-mail auprès d'un fournisseur commun, comme Gmail ou iCloud, le client utilisera un flux de travail Oauth2 pour s'authentifier auprès de votre navigateur. Si vous entrez un domaine tiers, vous serez invité à saisir un mot de passe IMAP (si pris en charge). Tout cela est tout à fait normal pour un client de messagerie.
Cependant, une fois authentifié, une fenêtre s'affiche, vous informant que pour utiliser la nouvelle version d'Outlook, Microsoft devra synchroniser vos e-mails, événements et contacts avec Microsoft Cloud. Une option d'annulation est disponible, mais il n'y a pas d'option pour refuser et continuer à utiliser votre client. Un lien d'assistance est fourni avec des informations supplémentaires, qui expliquent que l'accès permet des fonctionnalités telles que la recherche de courrier, une boîte de réception ciblée ou des réunions récurrentes, mais ne fait aucune déclaration claire sur les limites de cette collecte de données :
Envoyé par Microsoft
À partir de cet avertissement, un utilisateur peut raisonnablement supposer que le client de messagerie auquel il se connecte continuera à agir en tant que client de messagerie et que le client pourrait envoyer des données limitées pour traitement dans le cloud. Cependant, ce n'est pas le cas. Au lieu de l'authentification de votre client de messagerie, vos informations d'identification sont transmises au cloud Microsoft, qui s'authentifie en votre nom. À partir de ce moment, tous les traitements (y compris la récupération de vos e-mails) sont gérés dans le cloud. Le blog allemand heise.de a effectué une recherche et n'a pas pu observer un trafic circulant directement du client vers son fournisseur de messagerie.
Cela est vrai pour les flux de travail OAuth et IMAP, mais est plus visible lors de l'authentification auprès d'un serveur IMAP tiers. Dans ce cas, le client Outlook utilise les informations d'identification IMAP fournies par votre fournisseur de messagerie pour accéder à l'application et les transfère directement vers le cloud de Microsoft via TLS. Les curieux peuvent reproduire cela en mettant en place un proxy transparent entre Internet et le client Outlook pour intercepter le trafic chiffré.
Client de messagerie ou application web ?
Pour pouvoir répondre à cette question, Heise a utilisé un fournisseur de messagerie qui enregistre l'adresse IP et l'heure d'accès de chaque nouvelle connexion. Si le client Outlook communiquait directement avec notre serveur de messagerie (c'est-à-dire agissait comme un client le devrait), alors l'adresse IP enregistrée par le fournisseur de messagerie doit être la même que celle de l'ordinateur sur lequel nous exécutons Outlook. Cependant, à chaque tentative, aucune connexion n’a été enregistrée à partir de leur adresse IP personnelle; les connexions provenaient d'une autre adresse IP qui, une fois insérées dans le service de recherche WHOIS, indiquait qu'elle était enregistrée auprès de Microsoft. Cela démontrerait que le « client » Outlook n’est rien de tout cela, agissant entièrement comme un wrapper autour des services cloud de Microsoft et que le client local ne s’est jamais connecté.
Il y a ici un problème clair pour l’utilisateur. En se connectant simplement au nouveau client Outlook, un utilisateur a effectivement fourni au Microsoft Cloud un accès global et illimité à l'ensemble de son compte de messagerie. La seule mention de confidentialité par Microsoft sur la page d'assistance liée est un ensemble de liens vers sa déclaration de confidentialité et ses contrats de service, qui permettent tous deux un accès général à vos données pour améliorer les produits et services Microsoft.
Il est également important de noter qu'il n'existe aucun moyen évident de refuser cette intégration cloud lors de la connexion à un compte de messagerie ou d'utiliser le client dans un mode avec certaines fonctionnalités d'IA désactivées.
Le transfert de la fonctionnalité client de messagerie vers le cloud supprime également la possibilité pour les ingénieurs en sécurité ou les chercheurs d'inspecter facilement ce que fait le client. Il est possible de suivre les requêtes effectuées sur vos données auprès de Microsoft, mais cela ne donne aucune indication sur la quantité de traitement supplémentaire, le cas échéant, a lieu. Il est également important de se rappeler que cet accès est continu. Il n'est plus possible d'empêcher Microsoft d'accéder à vos e-mails en fermant simplement Outlook. Les utilisateurs peuvent se connecter à Outlook sur leur bureau pour le tester, décider qu'ils ne l'aiment pas et simplement arrêter de l'utiliser sans se déconnecter. Jusqu'à ce que l'utilisateur se déconnecte (ou révoque la session ailleurs), Microsoft conservera un accès continu à ses données.
Un problème potentiel pour les entreprises
Il n'est précisé à aucun moment que l'application de bureau Outlook agira comme un wrapper autour de services exclusivement cloud ou quelles sont les limites et les circonstances dans lesquelles Microsoft accédera à vos données dans le cloud. Compte tenu de l'ampleur de la poussée de Microsoft vers de nouvelles intégrations d'IA basées sur le cloud et du manque d'assurance dans le cas contraire, il est raisonnable de supposer que Microsoft utilise ce type de données à des fins de formation ou de test.
Cela peut également constituer un problème sérieux pour les entreprises. Un utilisateur final d'entreprise pourrait involontairement fournir à Microsoft un accès à de grands volumes de données commerciales ou commercialement sensibles, éventuellement en violation des exigences réglementaires ou de sécurité. Si ces données étaient ensuite utilisées pour former des IA génératives ou d’autres modèles d’apprentissage automatique rendus publics, il est possible que certains aspects de ces données soient rendus accessibles à tous. Il s’agit d’un scénario extrême, mais les inquiétudes sont claires.
Sources : Microsoft (1, 2, 3), Heise
Et vous ?
Que pensez-vous du transfert automatique des e-mails vers le cloud ? Est-ce que cela vous rassure ou vous inquiète ?
Quelles sont les fonctionnalités de partage de données que vous utilisez ou que vous désactivez dans le nouveau Outlook ? Pourquoi ?
Quels sont les avantages et les inconvénients du nouveau Outlook par rapport à la version classique ou à l’application Courrier et Calendrier ?
Comment évaluez-vous la performance, la fiabilité et la sécurité du nouveau Outlook ? Avez-vous rencontré des problèmes ou des bogues ?
Quelles sont les suggestions ou les améliorations que vous aimeriez voir dans le nouveau Outlook ? Quelles sont les fonctionnalités qui vous manquent ou qui vous dérangent ?