Microsoft Teams jugé dangereux à utiliser par les chercheurs en sécurité

Microsoft Teams jugé dangereux à utiliser par les chercheurs en sécurité

L’application de messagerie Microsoft orientée sur le lieu de travail, Teams, a traversé un certain nombre de controverses auxquelles vous ne vous attendriez pas à ce que d’autres applications de chat traitent, y compris l’année dernière lorsque l’application Android a été considérée comme responsable de briser la capacité de passer des appels au 911 sur les appareils l’année dernière. Eh bien, l’application Teams — pas celle d’Android cette fois, du moins — est à nouveau dans l’actualité et ce n’est pas pour les bonnes raisons.

ANDROID POLICE VIDÉO DU JOUR

La société californienne de recherche sur la cybersécurité Vectra a découvert une faille potentiellement grave dans la version de bureau du service dans laquelle les jetons d’authentification sont stockés en texte brut, ce qui les rend vulnérables à une attaque tierce.

Le problème affecte l’application Teams basée sur le framework Electron de l’entreprise, qui s’exécute sur les fenêtres, macOS et machines Linux. Vectra dit que ces informations d’identification pourraient théoriquement être volées par un attaquant disposant d’un accès au système local ou distant. Microsoft est conscient de cette vulnérabilité, bien que la société ne semble pas pressée de la corriger.

Vectra explique qu’un pirate informatique disposant de l’accès requis pourrait voler des données à un utilisateur Teams en ligne et potentiellement les imiter lorsqu’il est hors ligne. Cette identité pourrait ensuite être utilisée dans des applications comme Outlook ou Skype en contournant les exigences d’authentification multifacteur (MFA). Vectra recommande aux utilisateurs de rester à l’écart de l’application de bureau Microsoft Teams jusqu’à ce qu’un correctif soit disponible ou, alternativement, d’utiliser l’application Web Teams qui a mis en place des protections supplémentaires.

“Encore plus dommageable, les attaquants peuvent altérer les communications légitimes au sein d’une organisation en détruisant, en exfiltrant ou en se livrant à des attaques de phishing ciblées de manière sélective”, a déclaré Connor Peoples, architecte de la sécurité chez Vectra. Il note que cette vulnérabilité particulière n’existe que sur la version de bureau de Teams en raison d’un manque de “contrôles de sécurité supplémentaires pour protéger les données des cookies”.

Pour faire passer son message à MicrosoftVectra a même développé une preuve de concept détaillant l’exploit, permettant aux chercheurs d’envoyer un message au compte de la personne dont le jeton d’accès a été compromis.

Bien que la plate-forme Electron facilite la création d’applications pour les ordinateurs de bureau, elle n’inclut pas de mesures de sécurité cruciales comme le cryptage ou emplacements de fichiers protégés par le système, par défaut. Les chercheurs en sécurité ont constamment critiqué ce framework, bien que Microsoft ne le considère pas encore comme un problème sérieux.

Site d’actualités sur la cybersécurité Lecture sombre (passant par Engadget) a approché l’entreprise pour un commentaire sur la vulnérabilité de Teams et a reçu une réponse assez tiède, affirmant que cette faille de sécurité “ne répond pas à notre barre pour un service immédiat car elle nécessite qu’un attaquant accède d’abord à un réseau cible”. Cependant, la société n’a pas exclu la possibilité qu’un correctif soit déployé à l’avenir.

Cela dit, si vous êtes sérieux au sujet de votre sécurité, il est peut-être préférable de laisser la plate-forme entièrement seule pendant un certain temps.

MISE À JOUR : 18/09/2022 16:10 HNE PAR JULES WANG

Clarification

Il y a eu une certaine controverse quant à l’affirmation de Vectra, que nous avons relayée dans cette histoire, selon laquelle Electron ne prend pas en charge le cryptage. En fait, il prend en charge le cryptage de chaîne safeStorage, mais ce n’était qu’un changement récent introduit avec Electron v15 l’année dernière (via DevStyleR), bien qu’une nouvelle installation de Microsoft Teams sur l’une de nos machines Windows ait fait apparaître la version 10.4.7.

Leave a Comment

Your email address will not be published.