Microsoft Teams jugé dangereux à utiliser par les chercheurs en sécurité
L’application de messagerie Microsoft orientée sur le lieu de travail, Teams, a traversé un certain nombre de controverses auxquelles vous ne vous attendriez pas à ce que d’autres applications de chat traitent – y compris l’année dernière lorsque l’application Android a été considérée comme responsable de la rupture de la capacité de passer des appels au 911 sur les appareils en dernier an. Eh bien, l’application Teams est à nouveau dans l’actualité et pas pour les bonnes raisons.
La société californienne de recherche sur la cybersécurité Vectra a découvert une faille potentiellement grave dans la version de bureau du service dans laquelle les jetons d’authentification sont stockés en texte brut, ce qui les rend vulnérables à une attaque tierce.
Le problème affecte l’application Teams basée sur le framework Electron de l’entreprise, qui s’exécute sur les machines Windows, macOS et Linux. Vectra indique que ces informations d’identification pourraient théoriquement être volées par un attaquant disposant d’un accès au système local ou distant. Microsoft est conscient de cette vulnérabilité, bien que la société ne semble pas pressée de la corriger.
Vectra explique qu’un pirate informatique disposant de l’accès requis pourrait voler des données à un utilisateur Teams en ligne et potentiellement les imiter lorsqu’il est hors ligne. Cette identité pourrait ensuite être utilisée dans des applications comme Outlook ou Skype en contournant les exigences d’authentification multifacteur (MFA). Vectra recommande aux utilisateurs de rester à l’écart de l’application de bureau Microsoft Teams jusqu’à ce qu’un correctif soit disponible ou, alternativement, d’utiliser l’application Web Teams qui a mis en place des protections supplémentaires.
« Encore plus dommageable, les attaquants peuvent altérer les communications légitimes au sein d’une organisation en détruisant, en exfiltrant ou en se livrant à des attaques de phishing ciblées de manière sélective », a déclaré Connor Peoples, architecte de la sécurité chez Vectra. Il note que cette vulnérabilité particulière n’existe que sur la version de bureau de Teams en raison d’un manque de « contrôles de sécurité supplémentaires pour protéger les données des cookies ».
Pour faire passer son message à Microsoft, Vectra a même développé une preuve de concept détaillant l’exploit, permettant aux chercheurs d’envoyer un message au compte de la personne dont le jeton d’accès a été compromis.
Bien que la plate-forme Electron facilite la création d’applications pour les ordinateurs de bureau, elle n’inclut pas de mesures de sécurité cruciales telles que le cryptage. Les chercheurs en sécurité ont constamment critiqué ce framework, bien que Microsoft ne le considère pas encore comme un problème sérieux.
Le site d’information sur la cybersécurité Dark Reading (via Engadget) a approché l’entreprise pour un commentaire sur la vulnérabilité de Teams et a reçu une réponse assez tiède, affirmant que cette faille de sécurité « ne répond pas à notre barre pour un service immédiat car elle nécessite qu’un attaquant accède d’abord à un réseau cible. » Cependant, la société n’a pas exclu la possibilité qu’un correctif soit déployé à l’avenir.
25 avril 2024 3h16
