Clients Outlook et messages au format HTML
Date : 06 Juillet 2005
Ce mois ci, une rustine (patch) (NoHTML) a été conçue par le gestionnaire de la liste de sécurité NTBugTraq afin de pallier les manques de Outlook dans sa gestion des mails au format HTML.
Par le passé, Microsoft n'avait jamais proposé à l'utilisateur de choisir l'affichage des messages au format HTML (message interprété ou message texte seulement). Par défaut, tous les messages HTML étaient interprétés ce qui pouvait engendrer certains problèmes de sécurité relatifs aux scripts et autres contrôles ActiveX.
Microsoft s'est néanmoins rattrapé en proposant ce choix à l'utilisateur dans le Service Pack 1 d'Office XP/2002 (contenant Outlook 2002) au terme cependant d'une configuration un peu ardue (Cf. partie "Pour plus d'information"). Cette nouvelle fonctionnalité n'est cependant pas mise en oeuvre pour les messages signés et/ou chiffrés.
Créé pour les versions Outlook 2000/2002, NoHTML permet de visualiser un e-mail HTML au format RTF (pour Outlook 2000) ou texte (pour Outlook 2002).
Néanmoins afin de se protéger efficacement par NoHTML, il est nécessaire de fermer le volet de visualisation (menu "Affichage") d'Outlook.
Il a été remarqué que NoHTML avait des effets de bords sous la version Outlook 2000 avec des messages HTML dont la partie "texte" est incorporée dans des scripts ou autres tags particuliers; le résultat étant l'affichage d'un message vide.
Remarque : NoHTML ne fonctionne ni sur Outlook Express, ni sur Outlook 9x.
Il est cependant conseillé d'utiliser la solution de Microsoft pour Outlook 2002 qui s'affranchit, entre autres, de la fermeture du volet de visualisation.
La version courante à ce jour 1.2.0.0 a été testée par le Cert-IST sous Outlook 2000. Le comportement de cette rustine s'est montré relativement fiable et il n'a pas été remarqué d'effets de bords hormis celui mentionné ci-dessus.
Pour plus d'information :
- Information sur NoHTML : http://ntbugtraq.ntadvice.com/default.asp?sid=1&pid=55&did=38
- Article de la KB de Microsoft sur la configuration de Outlook 2002 (Q307594) : http://www.microsoft.com/technet/support/kb.asp?ID=307594
- Nota : une erreur s'est glissée dans cet article : le nom de la "clé" est "ReadAsPlain" attaché sans espace entre "ReadAs" et "Plain"