Messages réécrits, notifications trompeuses, identités maquillées… Quatre failles récemment documentées montrent qu’il était possible de truquer l’affichage des échanges Teams en toute discrétion.
Les équipes de sécurité de Check Point viennent de divulguer quatre failles dans Microsoft Teams, capables de modifier l’affichage de messages, de falsifier des notifications ou encore d’usurper le nom d’un collègue dans une conversation privée ou lors un appel. Autrement dit, un acteur malintentionné déjà introduit dans votre organisation pourrait manipuler vos échanges sans attirer l’attention, au risque de pousser quelqu’un à valider une demande urgente ou à transmettre un document sensible. Microsoft indique qu’aucun abus n’a été observé, mais a publié une série de correctifs entre août 2024 et fin octobre 2025. En clair, si Teams n’est pas à jour, votre environnement peut encore être vulnérable.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
De l’art de falsifier messages, notifications et appels
Dans le détail, ces failles n’exploitent ni le chiffrement de la messagerie, ni une quelconque élévation de privilèges, mais tirent parti de la façon dont Teams construit et affiche les éléments d’interface. Concrètement, les équipes de Check Point ont pu démontrer qu’un identifiant associé à un message pouvait être réutilisé ou réaffecté de manière à modifier un contenu déjà envoyé sans déclencher la balise « édité ». En bref, le texte affiché semblait être l’original alors qu’il avait été réécrit.
En parallèle certains champs utilisés pour générer les notifications peuvent être altérés avant affichage. Ces métadonnées, produites côté serveur puis transmises au client Teams pour afficher l’alerte (nom visible, aperçu du texte, informations sur l’expéditeur), peuvent être manipulées pour que la notification semble émaner d’un dirigeant ou d’un service interne de l’entreprise infiltrée.
Enfin, les deux dernières failles portent sur l’identité affichée dans l’interface. Dans les conversations privées comme dans les appels audio et vidéo, l’attaquant pourrait modifier à la volée le nom affiché de l’interlocuteur pour, là encore, se faire passer pour un collègue.
Mettre à jour Teams et garder l’œil ouvert
Prévenue par Check Point en mars 2024, Microsoft a répertorié ces problèmes sous l’identifiant CVE-2024-38197 (CVSS 6.5), initialement classé comme vulnérabilité de spoofing affectant Teams pour iOS. Plusieurs correctifs ont suivi à partir d’août 2024, jusqu’à une dernière mise à jour publiée fin octobre 2025 pour la partie audio et vidéo.
A priori, aucun cas d’exploitation active n’a été observé. Toutefois, la publication des détails techniques élargit mécaniquement la surface de risque, surtout si Teams n’est pas à jour. Dans la pratique, l’exploitation supposerait avant tout de disposer d’un accès valide : compte compromis, session déjà ouverte, invité malveillant ou intégration interne détournée (bot, application connectée). Une fois à l’intérieur, l’attaquant disposerait d’un canal légitime pour injecter du contenu falsifié, manipuler l’affichage ou usurper une identité dans l’interface.
D’où l’importance d’appliquer rapidement les mises à jour déployées entre 2024 et 2025, puis de resserrer la configuration : limiter strictement les comptes invités, auditer les applications connectées, et imposer l’authentification multifacteur. Enfin, un suivi régulier des journaux Teams aide à repérer d’éventuelles manipulations suspectes, notamment des éditions silencieuses ou des changements inhabituels d’identités affichées.
Source : Check Point
