Une faille de sécurité dans Teams et Discord à cause d’un framework

Lors de la Black Hat de Las Vegas, un événement dédié à la cybersécurité, des chercheurs en sécurité sont parvenus à identifier une vulnérabilité importante dans un framework utilisé par de nombreuses applications telles que Microsoft Teams et Discord.

Pour optimiser les temps de développement et pour éviter de redévelopper ce qui existe déjà, les développeurs s'appuient sur des frameworks. Il en existe énormément, et les applications Teams et Discord ont un point commun : elles utilisent le framework Electron, développé par GitHub. Ce framework est utile pour faciliter le développement d'applications multiplates-formes en s'appuyant sur des technologies Web. D'ailleurs, ce framework en lui-même s'appuie sur Chromium, le projet libre à l'origine de Google Chrome et sur lequel s'appuient d'autres navigateurs comme Microsoft Edge, Brave, etc.

Grâce à ce framework, les développeurs peuvent intégrer une WebApp dans un container universel qu'il sera possible d'intégrer à des applications à destination des différents systèmes d'exploitation. C'est très pratique, car cela évite aux développeurs d'avoir une version complète par système, développée de zéro. Le framework permet de gagner du temps. Le problème, c'est que le framework Electron contient une faille de sécurité critique, et que cela impacte directement les applications qui l'utilisent !

Fort heureusement, cette faille de sécurité n'est pas sortie dans la nature... Les chercheurs en sécurité ont donné quelques exemples d'utilisation de cette faille, notamment la manière de l'exploiter selon l'application. Par exemple, sur Discord il suffit d'envoyer un lien malveillant vers une vidéo : si la personne ciblée clique sur le lien, l'attaquant peut prendre le contrôle de sa machine. En ce qui concerne Microsoft Teams, le résultat est le même, mais pour y parvenir, l'attaquant doit envoyer un lien spécifique pour inviter les personnes à rejoindre une réunion.

Les chercheurs en sécurité recommandent d'utiliser les WebApp à partir du navigateur plutôt que de passer par ces applications basées sur Electron. Depuis, la vulnérabilité a été corrigée dans Electron et les chercheurs ont pu recevoir une belle récompense : 10 000 dollars. Pour être protégé, il faut avoir les applications à jour (Teams, Discord, etc...) afin d'avoir une version basée sur une version patchée d'Electron.

Mise à jour du 23/08/2022 : Spotify n'est pas concerné car il n'utilise pas le framework Electron. Il s'agit d'une erreur.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 4075 posts and counting.See all posts by florian

4 thoughts on “Une faille de sécurité dans Teams et Discord à cause d’un framework

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.