Le nouveau client mail Outlook vient en remplacement de l'application mail sur Windows 11. Une application qui personne ne regrettera. Cependant la satisfaction de disposer d'un client mail pourrait bien être eclipsée par le fait que Microsoft fait main basse sur vos données si vous l'utilisez. En effet notre confrère allemand Heise online s'est rendu compte que Microsoft force, via ce client Outlook, à l'utilisation de son cloud et y transfère vos données.

Notre confrère explique : Microsoft chante les louanges du nouvel Outlook et veut convaincre les utilisateurs d'en changer. Mais attention : si vous essayez le nouvel Outlook, vous risquez de transférer vos identifiants IMAP et SMTP de vos comptes de messagerie et tous vos emails vers des serveurs Microsoft. Bien que Microsoft explique qu'il est possible de revenir à tout moment aux applications précédentes, les données seront déjà stockées par l'entreprise. Cela permet à Microsoft de lire les e-mails.

En effet, lors de l'ajout d'un compte de messagerie dans le nouveau Outlook qui n'est pas hébergé par Microsoft, mais correspond à un compte IMAP qui se trouve par exemple sur les serveurs de messagerie de votre entreprise ou de votre fournisseur d'accès, le programme affiche un message.

Le lien 'En apprendre plus' (learn more) du message, amène à une page de support indiquant clairement : "La synchronisation de votre compte avec Microsoft Cloud signifie qu'une copie de votre courrier électronique, de votre calendrier et de vos contacts sera synchronisée entre votre fournisseur de messagerie et les centres de données Microsoft."

Outre les comptes IMAP, les comptes Gmail, Yahoo et iCloud sont synchronisés de la sorte.

Comme le montre l'illustration ci-dessous, l'utilisateur dispose d'un bouton pour annuler, mais dans ce cas, le compte mail n'est tout simplement pas créé. Autrement dit, et sauf erreur de notre part, l'utilisateur n'a pas la possibilité d'utiliser le client Outlook sans pousser ses données sur le cloud de Microsoft.

Qu'elles sont au juste ces données transférées ? Heise online répond à cette question : Qu’est-ce que Microsoft transfère où ? Lors de la création d'un compte IMAP, nous avons pu détecter le trafic entre le nouvel Outlook et les serveurs Microsoft. Il contenait le serveur cible, le nom de connexion et le mot de passe qui ont été envoyés à ces serveurs de Microsoft. Bien que protégées par TLS, les données sont envoyées à Microsoft en texte brut dans le tunnel. Sans informer ni se renseigner à ce sujet, Microsoft s'accorde l'accès aux données de connexion IMAP et SMTP des utilisateurs du nouvel Outlook.

L'illustration ci-dessous montre que lors de l'ajout d'un compte IMAP, le nouvel Outlook envoie les données de connexion et les informations du serveur à Microsoft.

Notre confrère précise encore : Lors du passage de l’ancien Outlook au nouveau, le nouveau logiciel est installé en parallèle. Les comptes IMAP précédemment configurés ne sont pas automatiquement transférés, mais le compte stocké dans Windows l'est. Lors du test avec les comptes Google, l'authentification avec OAuth2 a été utilisée. Les utilisateurs reçoivent une demande d'authentification et Microsoft ne reçoit aucune donnée d'accès spécifique, mais uniquement un jeton d'accès que les utilisateurs peuvent à nouveau révoquer.