En cette période de confinement, les outils de travail collaboratif en ligne tels que Slack, Microsoft Teams ou Zoom sont devenus indispensables pour les entreprises ayant recours au télétravail, et deviennent les cibles privilégiées des hackers.

Le télétravail est devenu incontournable pour la continuité de l’activité de nombre d’entreprises. Les services de travail collaboratif permettant le partage de fichier, les réunions ou rendez-vous en visioconférence ont vu leur nombre d’utilisateurs grimper en flèche depuis les débuts du confinement.

L’équipe de recherche de CyberArk a mis à jour une faille de sécurité dans Microsoft Teams, liée au fonctionnement du système d’authentification par jetons de l’application et à une configuration erronée de sous-domaines Microsoft qui permettait le détournement desdits jetons.

Quand Donald Duck prend le contrôle d’une entreprise

Un attaquant pouvait, par le biais de l’envoi d’une image (un gif animé de Donald Duck, dans l’exemple) récupérer les données d’authentification d’un compte Microsoft Teams, et donc, prendre le contrôle de ce dernier. Il suffisait simplement que l’utilisateur ciblé visionne cette image.
Ensuite, la diffusion de cette même image à partir du compte de la première victime aurait suffi à prendre le contrôle d’une équipe entière, puis des équipes partenaires utilisant Teams, etc.

Le scénario pouvait très rapidement devenir cauchemardesque, comme le décrit le chercheur dans sa démonstration de faisabilité (PoC) : création de comptes utilisateur, usurpation d’identité, vol de données, enregistrement des conversations vidéos…

Suite à l’avertissement de CyberArk, Microsoft a heureusement rapidement supprimé les enregistrement DNS de ses sous-domaines et a corrigé le système d’authentification par jetons. Cependant cette démonstration du scénario catastrophe met en lumière l’importance des questions de cyber sécurité, qui, dans les conditions exceptionnelles que nous vivons, deviennent primordiales pour préserver la confidentialité de nos données.

Il est à noter malgré tout que la faille a pu être exploitée discrètement par d’autres pirates auparavant ; nous vous conseillons donc, si vous utilisez Teams, d’effectuer un changement global des mots de passe utilisateur… Il est même étonnant que Microsoft n’ai pas contacté ses utilisateurs pour leur signaler d’effectuer ces actions, peut-être par peur de créer une panique…

 

En savoir plus :