Microsoft Teams : une importante faille de sécurité pouvait être exploitée à l’aide d’un GIF

Une faille de sécurité liée aux sous-domaines ainsi qu’aux tokens d’accès de Microsoft Teams, permettait de pirater des comptes utilisateurs avec un simple GIF.

Depuis la pandémie de coronavirus, l’utilisation des applications de visioconférence a nettement augmenté. L’application Zoom par exemple, qui comptait 10 millions d’utilisateurs quotidien en décembre, a passé la barre des 300 millions d’utilisateurs à l’heure actuelle. Malgré cela, le service était sujet à des brèches de sécurité, qui ont rapidement été corrigées.

L’entreprise CyberArk a révélé le 27 avril, que Microsoft Teams, le service de visioconférence, est lui aussi vulnérable. En effet, les chercheurs ont prouvé qu’il était possible de s’emparer de n’importe quel compte utilisateur avec l’envoi d’un simple GIF. Pas d’inquiétude à avoir cependant, puisque le problème est désormais résolu. 

Ainsi, les chercheurs de CyberArk ont décelé une vulnérabilité liée aux sous-domaines ainsi qu’aux tokens d’accès de Microsoft Teams. Avec l’envois d’un GIF, des pirates pouvaient utiliser cette faille dans le but de s’emparer d’un compte utilisateur et ainsi subtiliser des données personnelles ou encore usurper une identité. 

D’après le site spécialisé, les hackers pouvaient aussi accéder à des informations confidentielles sur une entreprise (des données concurrentielles, des mots de passe, des informations privées, des plans d’affaires etc.) La brèche pouvait également être utilisée pour envoyer de fausses informations à des employés, usurper l’identité d’un cadre et entraîner des dommages financiers, des fuites directes de données, etc.

CyberArk a alerté la firme de Redmond de cette importante vulnérabilité le 23 mars. Microsoft a donc sorti un correctif le 20 avril 2020.