Suivez-nous

Cybersécurité

Microsoft Teams : Un GIF malveillant à l’origine d’une importante vulnérabilité

Une faille a été signalée mais elle a depuis été corrigée par l’entreprise.

Il y a

  

le

 
Microsoft Teams en visioconférence
© Microsoft

Depuis le début du confinement, des millions personnes sont désormais forcées de travailler depuis chez elles. Ce recours renforcé au télétravail fait les beaux jours des plateformes de communication professionnelles. On pense notamment à Zoom dont la fréquentation est passée de 10 millions d’utilisateurs par jour en décembre à plus de 300 millions actuellement. La compagnie est pourtant pointée du doigt pour plusieurs problèmes de sécurité. On lui reprochait également de partager les données de ses utilisateurs avec Facebook, mais ce soucis a par la suite été corrigé.

Le service de vidéoconférence n’est pas le seul à être touché par des vulnérabilités. Des chercheurs de la société CyberArk ont annoncé avoir découvert une faille de sécurité dans la version web et l’application bureau de Microsoft Teams. Elle aurait pu permettre de détourner des comptes en utilisant un simple GIF. Le problème a été résolu depuis le 20 avril par l’entreprise et il n’y a donc plus aucun risque pour les utilisateurs.

Pas d’attaques à déplorer ?

Concrètement, CyberArk a noté que des pirates pouvaient profiter d’une vulnérabilité de sous-domaine dans Microsoft Teams. Les assaillants utiliseraient un GIF malveillant leur permettant de prendre le contrôle de l’ensemble des comptes Teams d’une compagnie.

Les hackers auraient donc potentiellement pu récupérer des informations confidentielles, des secrets, des mots de passe. Pire, les chercheurs affirment qu’ils « pourraient également exploiter cette vulnérabilité pour envoyer de fausses informations aux employés – usurpant l’identité de la direction d’une entreprise – entraînant des dommages financiers, de la confusion et des fuites directes de données ».

On ignore combien de temps Microsoft Teams été vulnérable à cette attaque mais cela semble avoir duré plusieurs semaines. CyberArk salue toutefois la réactivité de l’entreprise qui a pris le problème très au sérieux quand elle en a été informée le 23 mars dernier. Il est impossible d’en être certain mais il ne semble pas y avoir eu d’attaque exploitant cette faille, notamment en raison de la complexité de ce type d’opérations.

Antivirus Bitdefender Plus
Par : Bitdefender
Cliquez pour commenter

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Actus Cyber-sécurité

Bons plans VPN

Les meilleurs VPN

1
2
3