Une faille touchant Teams expose les entreprises au phishing
Microsoft Teams présente un risque de sécurité dans la messagerie avec des utilisateurs externes, selon la société de cybersécurité Ontinue. La fonctionnalité «Chat with Anyone» permettrait à des attaquants de contourner certaines protections de Microsoft Defender et de diffuser plus facilement du phishing ou des malwares.
Un billet de blog publié par Ontinue alerte sur un risque lié à l’accès invité dans Microsoft Teams. La fonctionnalité «Chat with Anyone», déployée cette année, permet à un utilisateur d’engager une conversation avec n’importe quelle adresse e-mail, même si le destinataire ne possède pas de compte Teams. Une fois l’invitation acceptée, celui-ci rejoint l’environnement Microsoft 365 de l’expéditeur en tant qu’invité.
Dans ce scénario, plusieurs mécanismes de sécurité de Microsoft Defender ne s’appliquent plus, avertissent les chercheurs de Ontinue: analyse des liens, sandboxing des pièces jointes ou suppression automatique de contenus malveillants. Une instance mal configurée peut ainsi devenir un point d’entrée pour diffuser du phishing ou des ransomwares.
Contournement des protections
Le billet de blog de la firme de cybersécurité explique que l’accès invité crée un «cross-tenant blind spot»: quand un utilisateur bascule dans une instance externe, certaines protections de Defender cessent de fonctionner. Les liens, messages ou fichiers infectés peuvent alors circuler sans passer par les contrôles habituels.
En pratique, un attaquant peut créer une instance Microsoft et inviter ses cibles dans une conversation Teams. Une fois l’invitation acceptée, il devient possible d’envoyer des liens ou fichiers malveillants via un canal perçu comme fiable.
Les invitations proviennent des serveurs de Microsoft et paraissent donc légitimes. Ontinue souligne que les collaborateurs peuvent penser évoluer dans un environnement protégé, alors que ce n’est plus le cas. L’entreprise indique que cette technique est déjà observée dans des campagnes réelles.
Recommandations pour les entreprises
Ontinue invite les organisations à revoir leur politique d’accès externe dans Teams, notamment en restreignant la fonctionnalité «Chat with Anyone» lorsqu’elle n’est pas nécessaire, en limitant les communications aux domaines approuvés et en surveillant les comptes invités. L’entreprise rappelle que les échanges avec des instances externes ne bénéficient pas des mêmes contrôles de sécurité que les communications internes, ce qui doit être pris en compte dans la politique de collaboration.
