Microsoft développe une nouvelle politique d’administration dans Teams pour détecter les robots avant leur entrée en réunion. Les organisateurs devront désormais valider chaque bot repéré, même quand ils choisissent de laisser les participants humains contourner le salon d’attente.

Une fois la politique activée, Microsoft croise des signaux comportementaux et techniques pour repérer les robots tiers, notamment les outils de prise de notes ou de transcription automatique - ©DANIEL CONSTANTE / Shutterstock
Une fois la politique activée, Microsoft croise des signaux comportementaux et techniques pour repérer les robots tiers, notamment les outils de prise de notes ou de transcription automatique - ©DANIEL CONSTANTE / Shutterstock

Le géant de Redmond a présenté lundi, dans un billet du blog Teams sur Microsoft Community Hub, sa nouvelle politique d’administration « Manage external bots and their access to meetings  ». Les administrateurs pourront l’assigner à des utilisateurs précis ou à des groupes entiers depuis le centre d’administration de Teams. Microsoft déploie la fonction sur Windows, macOS, Android et iOS, dans les environnements cloud standard et gouvernementaux (GCC).

Une fois la politique activée, Microsoft croise des signaux comportementaux et techniques pour repérer les robots tiers, notamment les outils de prise de notes ou de transcription automatique. L’organisateur retrouve alors ces bots suspects dans le salon d’attente, sous une étiquette visuelle bien définie, avant de confirmer ou refuser leur admission. Par défaut, l'organisateur doit valider manuellement chaque bot détecté, y compris dans les réunions où il autorise le reste des participants à entrer directement.

Les éditeurs de bots enregistreront directement leurs outils auprès de Microsoft

Microsoft prévoit d’enrichir ce dispositif dans les mois à venir. Les administrateurs pourront notamment constituer des listes blanches pour les bots explicitement approuvés, ou au contraire fermer l’accès à tout robot externe. Les équipes de sécurité pourront, en parallèle, consulter des journaux d’audit sur chaque détection. Par ailleurs, Microsoft ouvre aux éditeurs tiers qui développent des expériences de réunion pour Teams un registre séparé, le Teams Bot Identification Program. Ces éditeurs enregistreront leurs bots auprès de Microsoft et glisseront un marqueur d’identification dans leurs requêtes d’accès. Grâce à ce marqueur, Teams évite de signaler le robot comme une menace potentielle. Un nombre restreint d’éditeurs teste actuellement cette fonction avant son ouverture à un public plus large.

Le système n’est cependant pas infaillible. Microsoft reconnaît que la détection automatique peut, dans de rares cas, confondre un collègue humain avec un robot. Dans ce cas, l’organisateur corrige la situation depuis le salon d’attente, en admettant la personne et en cochant l’option « Ce n'est pas un bot  ». Teams lui restitue alors un statut de participant standard pour le reste de la réunion. Microsoft recommande, en complément, de réserver l’admission depuis le salon d’attente aux organisateurs et co-organisateurs, pour éviter qu’un participant autorise par erreur un bot indésirable.

Microsoft ajoute cette protection anti-bot à une série de mesures déployées dans Teams depuis le début de l'année - ©Microsoft
Microsoft ajoute cette protection anti-bot à une série de mesures déployées dans Teams depuis le début de l'année - ©Microsoft

Microsoft retire la vérification CAPTCHA au profit d’une détection comportementale

Microsoft retire directement l’ancienne vérification CAPTCHA qui protégeait jusqu’ici les salons de réunion contre les intrusions automatisées, et la remplace par ce nouveau système de détection. Or, le test CAPTCHA est depuis plusieurs mois une cible privilégiée des attaquants. Clubic a rapporté en février une campagne de phishing qui imitait les pages de connexion de Teams, Zoom et Google Meet, conçue pour piéger des collaborateurs pressés de rejoindre une réunion. Les attaquants poussaient alors leurs victimes à télécharger une fausse mise à jour, un outil de contrôle à distance dissimulé. D’autres pirates détournent directement le principe du CAPTCHA. Ils incitent les internautes à copier une commande malveillante dans la fenêtre Exécuter de Windows, une technique que Clubic a analysée sous le nom de ClickFix. En croisant des signaux comportementaux plutôt qu’un test cliquable, Microsoft retire aux attaquants un levier qu’ils exploitaient depuis plusieurs mois.

Microsoft ajoute cette protection anti-bot à une série de mesures déployées dans Teams depuis le début de l’année. Depuis janvier, les utilisateurs reçoivent une alerte quand un appelant externe usurpe l’identité d’une organisation de confiance. En mars, ils ont pu signaler un appel suspect comme tentative d’hameçonnage directement depuis l’application. En avril, Microsoft a averti que des attaquants imitaient des équipes de support informatique afin d’obtenir un accès distant aux postes de travail, une méthode déjà repérée quand des hackers russes ont détourné Teams à des fins d’espionnage. Dès décembre, les administrateurs pourront aussi bloquer des utilisateurs externes indésirables depuis le portail Defender.