L’enjeu majeur pour les géants de la Tech pendant la crise du Covid-19 est de devenir le numéro un des outils de vidéoconférence pour les employés en télétravail. L’entreprise Zoom s’est très vite démarquée, mais s’est très vite fait rattraper par ses concurrents, suite à des failles de sécurité. Cependant, la concurrence n’est pas sans défaut. En effet, une faille de sécurité a été révélée ce lundi concernant Teams, l’outil de vidéoconférence de Microsoft.
Des recherches en cybersécurité ont annoncé que, de fin février à la mi-mars, un GIF malveillant a pu voler des données de certains utilisateurs, voire même « prendre contrôle des comptes Teams d’entreprises entières ». La faille correspondante a été corrigée le 20 avril, ce qui signifie que les utilisateurs sont désormais à l’abri de cette attaque. Mais cela suffit pour remettre en question la vulnérabilité de tous les outils de vidéoconférence.
Quel est donc ce GIF malveillant ?
La faille a touché toutes les versions de bureau et par navigateur internet de Microsoft Teams. Le problème résidait dans la façon dont Microsoft a programmé le système de jetons d’authentification pour le visionnage des images de l’application. Ces jetons d’authentification permettent d’autoriser des utilisateurs à entrer leur nom d’utilisateur et leur mot de passe afin d’obtenir un jeton qui leur permet d’accéder à une ressource spécifique sans réutiliser un nom d’utilisateur et un mot de passe. Tout ceci est géré par Microsoft sur ses serveurs à l’adresse teams.microsoft.com ou tout autre sous-domaine de cette adresse. Or, CyberArk a trouvé qu’il avait été possible de détourner deux de ces sous-domaines (aadsync-test.teams.microsoft.com et data-dev.teams.microsoft.com ).
Ils ont alors observé que s’ils forçaient un utilisateur à s’authentifier sur l’un de ces liens, alors ils pourraient récupérer les jetons d’authentification sur leurs serveurs. Ils pourraient alors créer d’autres identifiants, par le biais de « jetons skype », qui leur donneraient accès aux données du compte de la victime. La meilleure façon de mener un utilisateur à utiliser l’un de ces liens corrompus est une méthode de phishing classique : envoyer à un individu un lien sur lequel il sera amené à cliquer. Mais les chercheurs de CyberArk ont jugé cela trop évident ; les hackerss ont en fait créé un GIF de Donald Duck qui, en le visualisant, obligeait le compte de la victime à renoncer à la procédure d’authentification. C’est parce que la source du GIF était un sous-domaine compromis et que Teams le contacte automatiquement pour visualiser l’image.
Les hackers ont profité de cette faille pour créer un virus qui se répandait d’un utilisateur à l’autre et toucher un grand nombre d’utilisateurs. « Le fait que la victime a seulement eu à voir le message pour être touchée est un cauchemar pour la cybersécurité. Chaque compte qui a été touché a aussi pu être un point de transfert vers tous les autres comptes de son entreprise », a expliqué un chercheur de CyberArk, dans un rapport pour Forbes, avant sa publication.
Quels sont les dégâts ?
Les dégâts auraient pu être colossaux si les hackers étaient parvenus à soustraire des informations via la faille de sécurité. « Les hackers pouvaient accéder à toutes les données des comptes de votre entreprise, et recueillir des informations confidentielles, des données sur la concurrence, des secrets d’usines, des mots de passe, des informations privées, des plans d’affaires », a écrit CyberArk. « Et pire encore, ils auraient pu exploiter cette faille pour envoyer de fausses informations aux employés ( à travers le compte d’un dirigeant estimé par exemple ) et mener l’entreprise à la confusion, des dommages financiers, une fuite de données et bien plus encore. »
Comment a réagi Microsoft ?
La faille a été corrigée le 20 avril, mais Microsoft avait agi bien avant. Dès le 23 mars, Microsoft s’est assuré que les liens vulnérables ne pouvaient plus être détournés. Le jour même, CyberArk informait les géants de la tech du danger. Omer Tsarfati, un chercheur de CyberArk Labs, a déclaré à Forbes qu’ils ne savaient pas exactement depuis combien de temps le bug était présent. Il a déclaré que les liens corrompus étaient susceptibles d’être en activité depuis le 27 février, ce qui signifie que la faille datait d’au moins trois semaines. Malgré tout, il ne retire rien à la rapidité d’action et l’efficacité de Microsoft. Les utilisateurs n’ont rien eu à faire, ils ont corrigé la faille d’eux-mêmes. Tout comme Zoom, Microsoft a su agir rapidement pour résoudre les problèmes pouvant affecter les nombreux utilisateurs de ces outils, bien qu’ils soient toujours vulnérables à ce genre d’attaques.
<<< À lire également : Microsoft Suspend Toutes Les Modifications De Windows 10 >>>
Vous avez aimé cet article ? Likez Forbes sur Facebook
Newsletter quotidienne Forbes
Recevez chaque matin l’essentiel de l’actualité business et entrepreneuriat.
Abonnez-vous au magazine papier
et découvrez chaque trimestre :
- Des dossiers et analyses exclusifs sur des stratégies d'entreprises
- Des témoignages et interviews de stars de l'entrepreneuriat
- Nos classements de femmes et hommes d'affaires
- Notre sélection lifestyle
- Et de nombreux autres contenus inédits