Sur Teams votre mot passe est stocké en clair, mais ça n'inquiète pas Microsoft

Alexia Coué
Systèmes d'exploitation, réseau et logiciels
21 septembre 2022 à 13h05
21
© Microsoft
© Microsoft

Microsoft Teams stockerait vos informations de connexion en clair dans votre disque dur… Microsoft est désormais au courant, mais n'a pas l'air pressée de corriger le tir.

Une faille vient d'être découverte dans l'application de messagerie instantanée et visioconférence du géant Microsoft. Teams stockerait en clair les identifiants de connexion de ses utilisateurs, permettant à toute personne mal intentionnée d'accéder aux fichiers partagés et conversations, mais également aux données d'autres applications Microsoft comme Outlook ou Sharepoint.

Une faille dans les jetons d'authentification

Découverte en août dernier par Vectra, un leader dans le monde de la cybersécurité et de l'intelligence artificielle, une faille impliquant les jetons d'authentification pourrait mettre à mal les entreprises et particuliers utilisant l'application bureau de Teams sur Windows, Mac et Linux.

Pour faire simple, ces jetons contenant votre nom d'utilisateur et mot de passe seraient stockés en clair dans le disque dur des utilisateurs. Cela est très problématique car tout intrus se trouvant dans le réseau de la victime pourrait utiliser ces tokens pour s'authentifier auprès de n'importe quel service Microsoft et ainsi usurper son identité. Il serait alors possible d'envoyer des mails via Outlook ou d'accéder au chat via Teams, ou voler des documents se trouvant dans un Sharepoint par exemple.

La source de cette faille proviendrait d'Electron, le composant logiciel utilisé pour le développement de Teams. Par sa simplicité d'utilisation et de mise en place, Microsoft a sûrement voulu gagner du temps en se servant de ce framework, négligeant au passage la sécurité de son application. Car même si Electron est utilisé par beaucoup de logiciels aujourd'hui, il ne supporte pas le chiffrement de données et la protection des fichiers.

Pas une menace immédiate selon Microsoft

Contactée directement par Vectra, Microsoft ne considère pas cette faille comme un risque immédiat et ne déploiera pas de correctif dédié à ce problème. Nous pouvons tout de même nous attendre à ce que des actions correctives soient prises et déployées via la prochaine mise à jour de Teams, mais aucune date n'a été communiquée.

En attendant la mise à jour, Vectra recommande grandement aux utilisateurs d'utiliser la version web de Teams qui ne présente pas cette faille. Il est également recommandé aux entreprises de sécuriser les accès à l'application Teams et de surveiller toute action suspecte quant aux fichiers et dossiers locaux du logiciel.

Microsoft Teams
Télécharger
Microsoft Teams
  • Qualité des appels, audio comme vidéo
  • Fonctions de messagerie
  • Version gratuite assez généreuse

Teams est un outil de productivité très complet qui saura répondre aux besoins de votre équipe. Pour peu que vous disposiez d'un abonnement à Microsoft 365, vous obtiendrez un outil de communication parfaitement intégré à l'écosystème logiciel de Microsoft. La version gratuite quant à elle saura satisfaire les plus petites organisations.

Teams est un outil de productivité très complet qui saura répondre aux besoins de votre équipe. Pour peu que vous disposiez d'un abonnement à Microsoft 365, vous obtiendrez un outil de communication parfaitement intégré à l'écosystème logiciel de Microsoft. La version gratuite quant à elle saura satisfaire les plus petites organisations.

Source : Vectra

Alexia Coué

Alexia Coué

Systèmes d'exploitation, réseau et logiciels

Systèmes d'exploitation, réseau et logiciels

Administratrice systèmes et rédactrice web en herbe, je suis passionnée par l'informatique et l'univers tech. Je passe mon temps libre à jouer aux jeux vidéo et à lire les derniers livres fantastiques...

Lire d'autres articles

Administratrice systèmes et rédactrice web en herbe, je suis passionnée par l'informatique et l'univers tech. Je passe mon temps libre à jouer aux jeux vidéo et à lire les derniers livres fantastiques du moment.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (21)

cid1
À côté de Teams qui laisse passer les MdP en clair.<br /> J’ai remarqué que Edge à tous mes mots de passe, mes onglets et ce, je ne sais d’où.<br /> Je ne l’ai jamais utilisé, et encore moins demandé d’extraire mes mots de passe ou mes onglets de FF. EDGE est un gros espion.
Proutie66
Tu as du l’utilisé, de fait. Il s’amuse pas à le récupérer tout seul.<br /> Exemple :<br /> Comment sais tu que Edge a tous tes mots de passe ? Tu l’a lancé…<br /> De là à ce que tu ais cliqué juste sans faire attention « importer mon historique / mdp », lors de la popup d’ouverture…
brice_wernet
Un jeton ne contient pas le login et le mot de passe, c’est faux. Un jeton ça valide qu’un utilisateur s’est logué via un logiciel.<br /> Normalement, le jeton est lié au site (donc le site teams).<br /> En gros, l’avoir devrait au pire permettre de se logguer sur teams à votre place (ce qui est déjà grave), mais en aucun cas de faire autre chose. Le token est lié à teams, pas à Sharepoint ou outlook.
dredd
Microsoft se dit que entre ça et le post-it sur l’écran, on va pas en fair un fromage.
Popoulo
@dredd : le bon post-it avec tout le chemin du site/appli le tout surligné en fluo
Popoulo
Je ferai quelques tests à temps perdu mais je suis du même avis que vous pour l’instant.
sshenron
C’est censé être faux comme tu dis. Mais après tout tu peux stocker ce que tu veux dans un token.
ultrabill
Sauf si le token sert à authentifier le compte M365, auquel cas c’est open bar sur tous les services.
Trentreznor
Exactement, j’ai jeté un oeil rapide à l’article source et il s’agit bien du token et absolument pas du mot de passe. Article racoleur et/ou écrit par quelqu’un qui ne comprend pas de quoi elle parle?
brice_wernet
Non, on ne stocke rien dans un token. Un token, c’est juste une référence à une autorisation. C’est comme un n° de chèque, un n° de vérification sur les tickets de tac-o-tac. L’info n’est pas dans le token, le token permet de retrouver l’info chez Ms, en interne. Et effectivement, normalement on lie le token à un ordi via son empreinte. L’empreinte est stockée (en total, ou en haché) chez Ms.<br /> Si la partie Ms qui à partir d’un token génère une session n’est pas suffisament fiabilisée, un token permet d’usurper l’identité dans le périmètre du token (dans le cas de teams, c’est déjà un beau périmètre).<br /> Si c’est bien fait, le token sera grillé car pas conforme à la signature envoyée et il ne servira à rien.
Sweety
Un token est forcément lié à une machine, je pense que c’est pour cette raison que Microsoft ne passe pas cet incident en urgence, surtout qu’il a prévu la refonte complète de Team. Pour rappel le token est utilisé en blockchain pour les cryptomonnaies par exemple.
sshenron
Alors j’ai peut être tout faux, j’utilise actuellement les JSON WEB Token et le but est de stocker des informations avec une durée de vie. Le tout étant crypté.<br /> Si la durée de vie du token a expirée ou si tu n’as pas la clef privée, tu ne peux pas récupérer les informations dans le token.
mo_osk
Et pour récupérer ce token il faut de toute façon avoir accès au pc…
sshenron
Le token est effectivement stocké sur la machine, mais il transite tout de même sur le réseau. Normalement le site ou l’application est censé protéger tout ca … Dans le cas contraire, un petit coup de wireshark à McDo hop on récupère ce token.
philou44300
Oui pour les tokens JSON (Tu peux chiffrer si tu mets des informations sensibles ou que tu ne veux pas que quelqu’un puisse lire le contenu mais tu peux aussi les signer pour pas qu’il soit altérer/modifié et vérifier que c’est bien toi qui l’a généré).<br /> Par contre tu as aussi des tokens générés qui sont juste une suite de caractères alphanumériques unique et qui servent ensuite à identifier un utilisateur (exemple: une URL envoyée par mail qui contient ce token et qui a une durée de validité). Dans ce cas on recherche le token stocké en base de données pour retrouver les infos associées.
Popoulo
@ultrabill : Non ça fonctionne pas. Tu ne peux pas t’authentifier avec sur le compte 365.
Krimog
Un JWT contient des informations + la validation de l’autorisation.<br /> Il peut avoir une durée de vie ou non.<br /> En revanche, les données ne sont absolument pas « cryptées » (déjà parce que « crypté » est un anglicisme, le mot à employer étant « chiffré », mais tout simplement parce que si les données y sont chiffrées, ton navigateur ne pourrait pas les utiliser).<br /> Au final, ton navigateur peut<br /> Vérifier la validité du token (une sorte de checksum)<br /> Vérifier la date d’expiration du token<br /> Lire toutes les informations supplémentaires fournies lors de la génération du token (qui sont en JSON encodé en base 64)<br /> Transmettre l’autorisation au serveur qui va valider que c’est bien lui qui l’a créée et donner ou non accès aux ressources.<br />
sshenron
Quand je travaille avec les JWT je m’arrange à faire en sorte de les « stocker » en httponly. Du coup le navigateur ne peut (et ne doit) absolument pas traiter le token (vérifier, lire etc …), mais simplement le renvoyer dans des requêtes http.<br /> Le serveur va déchiffrer (merci pour cette petite piqure de rappel ) le token qui a été préalablement chiffré avec une clé privée.<br /> Ce n’est clairement pas l’unique façon de faire
Hardlinepluto
@brice_wernet<br /> Vous faites erreur.<br /> Dans l’environnement professionnel le compte utilisateur pour de connecté a Teams est le compte Azur AD.<br /> Ce qui fais que si on arrive à avoir le user et le mot de passe d’un tiers on peut utiliser sa session et donc avoir accès à absolument tout.
brice_wernet
C’est plutôt l’inverse: le token est lié au compte azure AD (et au compte de l’ordi). Le token est donc effectivement réutilisable si on a pris le login/mot de passe de la personne.<br /> Mais si on a son login/mot de passe: pas besoin de token, on a de toutes façons accès à tout!<br /> Le maillon faible n’est pas le token (enfin si le dev a fait son job)
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Sur Teams votre mot passe est stocké en clair, mais ça n'inquiète pas Microsoft Sur Teams votre mot passe est stocké en clair, mais ça n'inquiète pas Microsoft
Microsoft va mettre le chat de Teams dans Outlook Microsoft va mettre le chat de Teams dans Outlook
Sur Microsoft Teams, les salles de réunion virtuelles deviendront gratuites Sur Microsoft Teams, les salles de réunion virtuelles deviendront gratuites
Des employés moins productifs en télétravail ? Le P.-D.G. de Microsoft remet les patrons à leur place Des employés moins productifs en télétravail ? Le P.-D.G. de Microsoft remet les patrons à leur place
Windows 11 : un an après, quel bilan ? Windows 11 : un an après, quel bilan ?