Deux nouvelles failles de sécurité viennent d'être découvertes dans l'application Teams de Microsoft : l'une se cache dans les onglets de l'application, l'autre cible les invitations à rejoindre une discussion.

Teams, c'est le couteau suisse des applications de messagerie et de vidéoconférence. Si l'application était au départ plutôt maigre, force est de constater que Teams ne cesse de s'enrichir de nouvelles fonctionnalités. Tant et si bien le logiciel a réussi à s'imposer comme l'une des applications de messagerie, de visio et de partage de documents les plus utilisées au Monde, surtout dans l'univers professionnel.

Mais l'application n'est pas exempte de bugs et surtout de failles de sécurité. Deux problèmes de taille ont été d'ailleurs récemment découverts : le premier concerne les onglets de l'application, tandis que le second est lié aux liens que vous avez peut-être déjà reçus et qui vous invitent à rejoindre une conversation.

À lire aussi : Microsoft lance Teams Premium avec des fonctionnalités alimentées par ChatGPT

Un malware peut se dissimuler dans les onglets de Teams

La première faille repérée par Proofpoint concerne les onglets de Microsoft Teams, qui permettent aux applications tierces de dialoguer avec l'application. Les onglets sont notamment utilisés lorsque vous partagez un fichier sur OneDrive, quand vous synchronisez votre agenda, etc.

Le souci, c'est que l'usage de ces onglets peut facilement se détourner. Selon les experts en cybersécurité de Proofpoint, un attaquant peut aisément créer un faux onglet, comme sur la capture ci-dessous, et pirater n'importe quel utilisateur. Ce faux onglet sert alors à diffuser une campagne de phishing, tout ce qu'il y a de plus classique, mais aussi mener à une page Web sur laquelle est dissimulé un malware, lequel donne ensuite accès au compte Office 365 des victimes.

Une seconde faille concernant Teams a également été découverte par la même équipe spécialisée en cybersécurité. Plutôt que de pointer vers une page Web, les Tabs peuvent rediriger les utilisateurs vers un fichier qui se télécharge automatiquement.

Attention à ces fausses invitations à rejoindre une conversation Teams

Et ce n'est pas tout : un attaquant peut aussi altérer un lien d'invitation Teams. Ici, le hack est encore plus difficile à percer à jour, car le lien semble légitime. Mais en réalité, c'est l'URL qui se cache derrière le lien et qui a été modifiée. Cette même URL renvoie alors vers un site ou un exécutable malveillant.

Proofpoint estime que ces menaces ne sont pas à prendre à la légère. Certes, l'attaquant doit déjà disposer d'un accès à un compte compromis Teams. Mais selon l'entreprise, 60% des utilisateurs de Microsoft 365 ont été victimes d'une prise de contrôle “réussie” de leur compte en 2022. Un chiffre qui fait froid dans le dos.

Source : Proofpoint