Faille de sécurité commune Teams Discord Spotify

Une faille de sécurité dans Teams et Discord à cause d’un framework

22/08/2022 Florian BURNEL 4 commentaires Discord, Sécurité, Spotify, Teams

Lors de la Black Hat de Las Vegas, un événement dédié à la cybersécurité, des chercheurs en sécurité sont parvenus à identifier une vulnérabilité importante dans un framework utilisé par de nombreuses applications telles que Microsoft Teams et Discord.

Pour optimiser les temps de développement et pour éviter de redévelopper ce qui existe déjà, les développeurs s'appuient sur des frameworks. Il en existe énormément, et les applications Teams et Discord ont un point commun : elles utilisent le framework Electron, développé par GitHub. Ce framework est utile pour faciliter le développement d'applications multiplates-formes en s'appuyant sur des technologies Web. D'ailleurs, ce framework en lui-même s'appuie sur Chromium, le projet libre à l'origine de Google Chrome et sur lequel s'appuient d'autres navigateurs comme Microsoft Edge, Brave, etc.

Grâce à ce framework, les développeurs peuvent intégrer une WebApp dans un container universel qu'il sera possible d'intégrer à des applications à destination des différents systèmes d'exploitation. C'est très pratique, car cela évite aux développeurs d'avoir une version complète par système, développée de zéro. Le framework permet de gagner du temps. Le problème, c'est que le framework Electron contient une faille de sécurité critique, et que cela impacte directement les applications qui l'utilisent !

Fort heureusement, cette faille de sécurité n'est pas sortie dans la nature... Les chercheurs en sécurité ont donné quelques exemples d'utilisation de cette faille, notamment la manière de l'exploiter selon l'application. Par exemple, sur Discord il suffit d'envoyer un lien malveillant vers une vidéo : si la personne ciblée clique sur le lien, l'attaquant peut prendre le contrôle de sa machine. En ce qui concerne Microsoft Teams, le résultat est le même, mais pour y parvenir, l'attaquant doit envoyer un lien spécifique pour inviter les personnes à rejoindre une réunion.

Les chercheurs en sécurité recommandent d'utiliser les WebApp à partir du navigateur plutôt que de passer par ces applications basées sur Electron. Depuis, la vulnérabilité a été corrigée dans Electron et les chercheurs ont pu recevoir une belle récompense : 10 000 dollars. Pour être protégé, il faut avoir les applications à jour (Teams, Discord, etc...) afin d'avoir une version basée sur une version patchée d'Electron.

Mise à jour du 23/08/2022 : Spotify n'est pas concerné car il n'utilise pas le framework Electron. Il s'agit d'une erreur.

Source

Florian BURNEL Co-founder of IT-Connect

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

See Full Bio

4 commentaires sur “Une faille de sécurité dans Teams et Discord à cause d’un framework”

Jeff

22/08/2022 à 19:04

Bonjour,

il doit manquer un mot dans le second paragraphe. « Teams, Discord et Spotify ont un point : », ça doit certainement être un point commun 😉
Ce commentaire peut être supprimé après la correction 🙂
Merci pour cet article très intéressant.
Jeff
Répondre
- Florian Burnel
  Auteur de l’article
  
  23/08/2022 à 07:41
  
  Bonjour Jeff,
  Effectivement, tu as trouvé le terme manquant 🙂
  Merci pour l’info !
  Répondre
Corbeau12

22/08/2022 à 19:22

Attention , l’article originel paru sur VICE a fait un erratum : spotify n’est pas basé sur electron voir lien ci -après en fin d’article : https://www.vice.com/en/article/m7gb7y/researchers-find-vulnerability-in-software-underlying-discord-microsoft-teams-and-other-apps
Répondre
- Florian Burnel
  Auteur de l’article
  
  23/08/2022 à 07:40
  
  Bonjour,
  Merci pour l’information, je viens de corriger à mon tour 🙂
  Répondre