🔴 French Days : ventes flash jusqu'à - 50% 🔴 French Days 2022 : ventes flash jusqu'à - 50%

Sur Teams votre mot passe est stocké en clair, mais ça n'inquiète pas Microsoft

Alexia Coué
Systèmes d'exploitation, réseau et logiciels
21 septembre 2022 à 13h05
21
Microsoft_Teams © Microsoft
© Microsoft

Microsoft Teams stockerait vos informations de connexion en clair dans votre disque dur… Microsoft est désormais au courant, mais n'a pas l'air pressée de corriger le tir.

Une faille vient d'être découverte dans l'application de messagerie instantanée et visioconférence du géant Microsoft. Teams stockerait en clair les identifiants de connexion de ses utilisateurs, permettant à toute personne mal intentionnée d'accéder aux fichiers partagés et conversations, mais également aux données d'autres applications Microsoft comme Outlook ou Sharepoint.

Une faille dans les jetons d'authentification

Découverte en août dernier par Vectra, un leader dans le monde de la cybersécurité et de l'intelligence artificielle, une faille impliquant les jetons d'authentification pourrait mettre à mal les entreprises et particuliers utilisant l'application bureau de Teams sur Windows, Mac et Linux.

Pour faire simple, ces jetons contenant votre nom d'utilisateur et mot de passe seraient stockés en clair dans le disque dur des utilisateurs. Cela est très problématique car tout intrus se trouvant dans le réseau de la victime pourrait utiliser ces tokens pour s'authentifier auprès de n'importe quel service Microsoft et ainsi usurper son identité. Il serait alors possible d'envoyer des mails via Outlook ou d'accéder au chat via Teams, ou voler des documents se trouvant dans un Sharepoint par exemple.

La source de cette faille proviendrait d'Electron, le composant logiciel utilisé pour le développement de Teams. Par sa simplicité d'utilisation et de mise en place, Microsoft a sûrement voulu gagner du temps en se servant de ce framework, négligeant au passage la sécurité de son application. Car même si Electron est utilisé par beaucoup de logiciels aujourd'hui, il ne supporte pas le chiffrement de données et la protection des fichiers.

Pas une menace immédiate selon Microsoft

Contactée directement par Vectra, Microsoft ne considère pas cette faille comme un risque immédiat et ne déploiera pas de correctif dédié à ce problème. Nous pouvons tout de même nous attendre à ce que des actions correctives soient prises et déployées via la prochaine mise à jour de Teams, mais aucune date n'a été communiquée.

En attendant la mise à jour, Vectra recommande grandement aux utilisateurs d'utiliser la version web de Teams qui ne présente pas cette faille. Il est également recommandé aux entreprises de sécuriser les accès à l'application Teams et de surveiller toute action suspecte quant aux fichiers et dossiers locaux du logiciel.

Microsoft Teams
  • Qualité des appels, audio comme vidéo
  • Fonctions de messagerie
  • Version gratuite assez généreuse

Microsoft Teams est le logiciel de travail collaboratif et de visio idéal pour les utilisateurs et entreprises déjà plongées dans l'écosystème Microsoft et Office. Ses fonctions de réunion et en visio sont qualitatives, mais les réfractaires à l'environnement MS ne basculeront pas pour Teams.

Microsoft Teams est le logiciel de travail collaboratif et de visio idéal pour les utilisateurs et entreprises déjà plongées dans l'écosystème Microsoft et Office. Ses fonctions de réunion et en visio sont qualitatives, mais les réfractaires à l'environnement MS ne basculeront pas pour Teams.

Source : Vectra

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
21
16
cid1
À côté de Teams qui laisse passer les MdP en clair.<br /> J’ai remarqué que Edge à tous mes mots de passe, mes onglets et ce, je ne sais d’où.<br /> Je ne l’ai jamais utilisé, et encore moins demandé d’extraire mes mots de passe ou mes onglets de FF. EDGE est un gros espion.
Proutie66
Tu as du l’utilisé, de fait. Il s’amuse pas à le récupérer tout seul.<br /> Exemple :<br /> Comment sais tu que Edge a tous tes mots de passe ? Tu l’a lancé…<br /> De là à ce que tu ais cliqué juste sans faire attention « importer mon historique / mdp », lors de la popup d’ouverture…
brice_wernet
Un jeton ne contient pas le login et le mot de passe, c’est faux. Un jeton ça valide qu’un utilisateur s’est logué via un logiciel.<br /> Normalement, le jeton est lié au site (donc le site teams).<br /> En gros, l’avoir devrait au pire permettre de se logguer sur teams à votre place (ce qui est déjà grave), mais en aucun cas de faire autre chose. Le token est lié à teams, pas à Sharepoint ou outlook.
dredd
Microsoft se dit que entre ça et le post-it sur l’écran, on va pas en fair un fromage.
Popoulo
@dredd : le bon post-it avec tout le chemin du site/appli le tout surligné en fluo
Popoulo
Je ferai quelques tests à temps perdu mais je suis du même avis que vous pour l’instant.
sshenron
C’est censé être faux comme tu dis. Mais après tout tu peux stocker ce que tu veux dans un token.
ultrabill
Sauf si le token sert à authentifier le compte M365, auquel cas c’est open bar sur tous les services.
Trentreznor
Exactement, j’ai jeté un oeil rapide à l’article source et il s’agit bien du token et absolument pas du mot de passe. Article racoleur et/ou écrit par quelqu’un qui ne comprend pas de quoi elle parle?
octokitty
Si le token est rejoué sur un ordinateur n’ayant pas la même empreinte d’appareil ou réseau, Microsoft devrait pouvoir invalider celui-ci pour raisons de sécurité.<br /> Ça n’enlève pas le fait qu’E(lec)tron est une bouse.
brice_wernet
Non, on ne stocke rien dans un token. Un token, c’est juste une référence à une autorisation. C’est comme un n° de chèque, un n° de vérification sur les tickets de tac-o-tac. L’info n’est pas dans le token, le token permet de retrouver l’info chez Ms, en interne. Et effectivement, normalement on lie le token à un ordi via son empreinte. L’empreinte est stockée (en total, ou en haché) chez Ms.<br /> Si la partie Ms qui à partir d’un token génère une session n’est pas suffisament fiabilisée, un token permet d’usurper l’identité dans le périmètre du token (dans le cas de teams, c’est déjà un beau périmètre).<br /> Si c’est bien fait, le token sera grillé car pas conforme à la signature envoyée et il ne servira à rien.
Sweety
Un token est forcément lié à une machine, je pense que c’est pour cette raison que Microsoft ne passe pas cet incident en urgence, surtout qu’il a prévu la refonte complète de Team. Pour rappel le token est utilisé en blockchain pour les cryptomonnaies par exemple.
sshenron
Alors j’ai peut être tout faux, j’utilise actuellement les JSON WEB Token et le but est de stocker des informations avec une durée de vie. Le tout étant crypté.<br /> Si la durée de vie du token a expirée ou si tu n’as pas la clef privée, tu ne peux pas récupérer les informations dans le token.
mo_osk
Et pour récupérer ce token il faut de toute façon avoir accès au pc…
sshenron
Le token est effectivement stocké sur la machine, mais il transite tout de même sur le réseau. Normalement le site ou l’application est censé protéger tout ca … Dans le cas contraire, un petit coup de wireshark à McDo hop on récupère ce token.
philou44300
Oui pour les tokens JSON (Tu peux chiffrer si tu mets des informations sensibles ou que tu ne veux pas que quelqu’un puisse lire le contenu mais tu peux aussi les signer pour pas qu’il soit altérer/modifié et vérifier que c’est bien toi qui l’a généré).<br /> Par contre tu as aussi des tokens générés qui sont juste une suite de caractères alphanumériques unique et qui servent ensuite à identifier un utilisateur (exemple: une URL envoyée par mail qui contient ce token et qui a une durée de validité). Dans ce cas on recherche le token stocké en base de données pour retrouver les infos associées.
clockover
« Microsoft est désormais au courant »<br /> Ba ils le savaient hin…
Popoulo
@ultrabill : Non ça fonctionne pas. Tu ne peux pas t’authentifier avec sur le compte 365.
Krimog
Un JWT contient des informations + la validation de l’autorisation.<br /> Il peut avoir une durée de vie ou non.<br /> En revanche, les données ne sont absolument pas « cryptées » (déjà parce que « crypté » est un anglicisme, le mot à employer étant « chiffré », mais tout simplement parce que si les données y sont chiffrées, ton navigateur ne pourrait pas les utiliser).<br /> Au final, ton navigateur peut<br /> Vérifier la validité du token (une sorte de checksum)<br /> Vérifier la date d’expiration du token<br /> Lire toutes les informations supplémentaires fournies lors de la génération du token (qui sont en JSON encodé en base 64)<br /> Transmettre l’autorisation au serveur qui va valider que c’est bien lui qui l’a créée et donner ou non accès aux ressources.<br />
sshenron
Quand je travaille avec les JWT je m’arrange à faire en sorte de les « stocker » en httponly. Du coup le navigateur ne peut (et ne doit) absolument pas traiter le token (vérifier, lire etc …), mais simplement le renvoyer dans des requêtes http.<br /> Le serveur va déchiffrer (merci pour cette petite piqure de rappel ) le token qui a été préalablement chiffré avec une clé privée.<br /> Ce n’est clairement pas l’unique façon de faire
Hardlinepluto
@brice_wernet<br /> Vous faites erreur.<br /> Dans l’environnement professionnel le compte utilisateur pour de connecté a Teams est le compte Azur AD.<br /> Ce qui fais que si on arrive à avoir le user et le mot de passe d’un tiers on peut utiliser sa session et donc avoir accès à absolument tout.
brice_wernet
C’est plutôt l’inverse: le token est lié au compte azure AD (et au compte de l’ordi). Le token est donc effectivement réutilisable si on a pris le login/mot de passe de la personne.<br /> Mais si on a son login/mot de passe: pas besoin de token, on a de toutes façons accès à tout!<br /> Le maillon faible n’est pas le token (enfin si le dev a fait son job)
Voir tous les messages sur le forum

Derniers actualités

Un bug sur Google Photos semble endommager aléatoirement des photos qui y sont stockées
Meta voulait un talkie-walkie pour Facebook... Cela va lui coûter 174 millions de dollars pour violation de brevet
Cette offre spéciale French Days sur la caméra Blink est incroyable !
Samsung dévoile la liste de ses smartphones qui recevront Android 13 d'ici la fin de l'année
Chouette, les influenceurs vont aussi pouvoir gagner de l’argent sur YouTube Shorts
Amazon termine les French Days en beauté avec 7 promos folles
Dernier jour des French Days et le Samsung Galaxy S20 FE tombe sous les 320€
A peine sortis, les AirPods Pro 2 sont déjà en promo au dernier jour des French Days !
Intego vous fait économiser 60% sur le prix annuel de sa licence antivirus dédiée aux Mac !
L'Ukraine arrête un groupe cybercriminel qui aurait revendu les données de plus de 30 millions de comptes
Haut de page