Sur Teams votre mot passe est stocké en clair, mais ça n'inquiète pas Microsoft

Par Alexia Coué, Systèmes d'exploitation, réseau et logiciels.

Publié le 21 septembre 2022 à 13h05

Microsoft Teams stockerait vos informations de connexion en clair dans votre disque dur… Microsoft est désormais au courant, mais n'a pas l'air pressée de corriger le tir.

Une faille vient d'être découverte dans l'application de messagerie instantanée et visioconférence du géant Microsoft. Teams stockerait en clair les identifiants de connexion de ses utilisateurs, permettant à toute personne mal intentionnée d'accéder aux fichiers partagés et conversations, mais également aux données d'autres applications Microsoft comme Outlook ou Sharepoint.

Une faille dans les jetons d'authentification

Découverte en août dernier par Vectra, un leader dans le monde de la cybersécurité et de l'intelligence artificielle, une faille impliquant les jetons d'authentification pourrait mettre à mal les entreprises et particuliers utilisant l'application bureau de Teams sur Windows, Mac et Linux.

Pour faire simple, ces jetons contenant votre nom d'utilisateur et mot de passe seraient stockés en clair dans le disque dur des utilisateurs. Cela est très problématique car tout intrus se trouvant dans le réseau de la victime pourrait utiliser ces tokens pour s'authentifier auprès de n'importe quel service Microsoft et ainsi usurper son identité. Il serait alors possible d'envoyer des mails via Outlook ou d'accéder au chat via Teams, ou voler des documents se trouvant dans un Sharepoint par exemple.

La source de cette faille proviendrait d'Electron, le composant logiciel utilisé pour le développement de Teams. Par sa simplicité d'utilisation et de mise en place, Microsoft a sûrement voulu gagner du temps en se servant de ce framework, négligeant au passage la sécurité de son application. Car même si Electron est utilisé par beaucoup de logiciels aujourd'hui, il ne supporte pas le chiffrement de données et la protection des fichiers.

Pas une menace immédiate selon Microsoft

Contactée directement par Vectra, Microsoft ne considère pas cette faille comme un risque immédiat et ne déploiera pas de correctif dédié à ce problème. Nous pouvons tout de même nous attendre à ce que des actions correctives soient prises et déployées via la prochaine mise à jour de Teams, mais aucune date n'a été communiquée.

En attendant la mise à jour, Vectra recommande grandement aux utilisateurs d'utiliser la version web de Teams qui ne présente pas cette faille. Il est également recommandé aux entreprises de sécuriser les accès à l'application Teams et de surveiller toute action suspecte quant aux fichiers et dossiers locaux du logiciel.

Microsoft Teams

Qualité des appels, audio comme vidéo
Fonctions de messagerie
Version gratuite assez généreuse

8 / 10

Télécharger

Source : Vectra

Par Alexia Coué

Systèmes d'exploitation, réseau et logiciels

Administratrice systèmes et rédactrice web en herbe, je suis passionnée par l'informatique et l'univers tech. Je passe mon temps libre à jouer aux jeux vidéo et à lire les derniers livres fantastiques du moment.

Articles d'Alexia Coué

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

cid1

À côté de Teams qui laisse passer les MdP en clair.
J’ai remarqué que Edge à tous mes mots de passe, mes onglets et ce, je ne sais d’où.
Je ne l’ai jamais utilisé, et encore moins demandé d’extraire mes mots de passe ou mes onglets de FF. EDGE est un gros espion.

Proutie66

Tu as du l’utilisé, de fait. Il s’amuse pas à le récupérer tout seul.

Exemple :
Comment sais tu que Edge a tous tes mots de passe ? Tu l’a lancé…
De là à ce que tu ais cliqué juste sans faire attention « importer mon historique / mdp », lors de la popup d’ouverture…

brice_wernet

Un jeton ne contient pas le login et le mot de passe, c’est faux. Un jeton ça valide qu’un utilisateur s’est logué via un logiciel.
Normalement, le jeton est lié au site (donc le site teams).

En gros, l’avoir devrait au pire permettre de se logguer sur teams à votre place (ce qui est déjà grave), mais en aucun cas de faire autre chose. Le token est lié à teams, pas à Sharepoint ou outlook.

dredd

Microsoft se dit que entre ça et le post-it sur l’écran, on va pas en fair un fromage.

Popoulo

@dredd : le bon post-it avec tout le chemin du site/appli le tout surligné en fluo

Popoulo

Je ferai quelques tests à temps perdu mais je suis du même avis que vous pour l’instant.

sshenron

C’est censé être faux comme tu dis. Mais après tout tu peux stocker ce que tu veux dans un token.

ultrabill

Sauf si le token sert à authentifier le compte M365, auquel cas c’est open bar sur tous les services.

Trentreznor

Exactement, j’ai jeté un oeil rapide à l’article source et il s’agit bien du token et absolument pas du mot de passe. Article racoleur et/ou écrit par quelqu’un qui ne comprend pas de quoi elle parle?

brice_wernet

Non, on ne stocke rien dans un token. Un token, c’est juste une référence à une autorisation. C’est comme un n° de chèque, un n° de vérification sur les tickets de tac-o-tac. L’info n’est pas dans le token, le token permet de retrouver l’info chez Ms, en interne. Et effectivement, normalement on lie le token à un ordi via son empreinte. L’empreinte est stockée (en total, ou en haché) chez Ms.
Si la partie Ms qui à partir d’un token génère une session n’est pas suffisament fiabilisée, un token permet d’usurper l’identité dans le périmètre du token (dans le cas de teams, c’est déjà un beau périmètre).
Si c’est bien fait, le token sera grillé car pas conforme à la signature envoyée et il ne servira à rien.