Une faille de sécurité dans Teams, Discord et Spotify à cause d’un framework
lundi 22 août 2022 à 15:33Lors de la Black Hat de Las Vegas, un événement dédié à la cybersécurité, des chercheurs en sécurité sont parvenus à identifier une vulnérabilité importante dans un framework utilisé par de nombreuses applications telles que Microsoft Teams, Discord ou encore Spotify.
Pour optimiser les temps de développement et pour éviter de redévelopper ce qui existe déjà, les développeurs s'appuient sur des frameworks. Il en existe énormément, et les applications Teams, Discord et Spotify ont un point : elles utilisent le framework Electron, développé par GitHub. Ce framework est utile pour faciliter le développement d'applications multiplates-formes en s'appuyant sur des technologies Web. D'ailleurs, ce framework en lui-même s'appuie sur Chromium, le projet libre à l'origine de Google Chrome et sur lequel s'appuient d'autres navigateurs comme Microsoft Edge, Brave, etc.
Grâce à ce framework, les développeurs peuvent intégrer une WebApp dans un container universel qu'il sera possible d'intégrer à des applications à destination des différents systèmes d'exploitation. C'est très pratique, car cela évite aux développeurs d'avoir une version complète par système, développée de zéro. Le framework permet de gagner du temps. Le problème, c'est que le framework Electron contient une faille de sécurité critique, et que cela impacte directement les applications qui l'utilisent !
Fort heureusement, cette faille de sécurité n'est pas sortie dans la nature... Les chercheurs en sécurité ont donné quelques exemples d'utilisation de cette faille, notamment la manière de l'exploiter selon l'application. Par exemple, sur Discord il suffit d'envoyer un lien malveillant vers une vidéo : si la personne ciblée clique sur le lien, l'attaquant peut prendre le contrôle de sa machine. En ce qui concerne Microsoft Teams, le résultat est le même, mais pour y parvenir, l'attaquant doit envoyer un lien spécifique pour inviter les personnes à rejoindre une réunion.
Les chercheurs en sécurité recommandent d'utiliser les WebApp à partir du navigateur plutôt que de passer par ces applications basées sur Electron. Depuis, la vulnérabilité a été corrigée dans Electron et les chercheurs ont pu recevoir une belle récompense : 10 000 dollars. Pour être protégé, il faut avoir les applications à jour (Teams, Discord, Spotify, etc...) afin d'avoir une version basée sur une version patchée d'Electron.
The post Une faille de sécurité dans Teams, Discord et Spotify à cause d’un framework first appeared on IT-Connect.