Les boîtes configurées avec ce standard de chiffrement ont peut-être émis des courriers n’étant finalement pas chiffrés. Quand l’email est formaté en texte brut, il est envoyé à la fois en clair et en version chiffrée au serveur. L’utilisateur n’avait d’ailleurs aucun moyen de le savoir en inspectant les éléments envoyés.

La faille n’était limitée que par l’utilisation par défaut du format HTML pour la rédaction des nouveaux emails. Si l’utilisateur répondait cependant à un courrier en texte brut, le comportement par défaut est de répondre sur la même base. Ceux qui ont activé l’option pour toujours répondre en HTML ne sont donc pas concernés.

La faille est en fait corrigée dans le dernier Patch Tuesday. Si vous avez installé les mises à jour depuis, vous n’êtes plus concerné. Par contre, on regrettera que Microsoft ait pris son temps pour ce qui semble clairement un problème sérieux : les chercheurs de SEC Consult avaient signalé la faille à Microsoft en mai.