Plusieurs risques potentiels dans Microsoft Teams ne sont pas encore pris en compte, parce que Microsoft ne les considère pas comme suffisamment sérieux.
Des failles avaient été découvertes en mars par Fabian Bräulein, co-fondateur de l’entreprise de sécurité allemande Positive Security. Il en informa Microsoft, mais un seul des quatre problèmes exposés a été résolu jusqu’à présent.
Il s’agit de Server-Side Request Forgery (SSRF), susceptible de provoquer une attaque spécifique de scannage de ports ou un abus basé http de services web. Un deuxième problème porte sur le spoofing (usurpation d’adresse), par lequel un lien envoyé reçoit une preview que quelqu’un peut imiter. Pensez ici à un lien que le site web de votre banque par exemple semble afficher, alors qu’en réalité, il s’agit d’un site mal intentionné. Il peut en résulter que vous soyez orienté vers une page d’hameçonnage (phishing), où vous êtes invité à saisir des données vous concernant.
Un troisième problème se pose lors de la déclinaison de l’adresse IP de quelqu’un sur Android. Lors de la création d’une prévisualisation de lien, certains éléments ne sont pas bien contrôlés, ce qui fait que l’adresse IP de quelqu’un peut être trouvée. Quant au quatrième problème, il se manifeste de nouveau sur Android et est un déni de service (Denial of Service), aussi appelé Message of Death, par lequel l’appli Android peut se planter. Sur le blog de Positive Security, Fabian Bräulein donne plus de détails sur les problèmes qu’il a découverts.
Faible risque
Sur ces quatre problèmes, seul celui de l’adresse IP sur Android a été résolu. Pour les trois autres, Microsoft a déclaré à Bräulein soit qu’ils ne seraient pas pris en compte à ce moment là, soit qu’ils constituaient un trop faible risque que pour s’y pencher dans l’immédiat. C’est ainsi que l’entreprise a affirmé que pour le problème de l’URL spoofing, la victime constaterait qu’il ne s’agit pas du site ad hoc, une fois qu’il aura cliqué sur le lien.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici