L'insécurité de vos données n'est pas un défaut, c'est une conception. Les risques des fédérations ouvertes par défaut dans MS Teams et comment elles provoquent des failles de sécurité.
Un autre jour, une autre histoire déprimante de logiciels de collaboration largement ouverts par les géants de la technologie, qui conduisent à une exploitation facile par les pirates informatiques. Cette fois-ci, c'est Microsoft Teams qui ouvre la porte aux attaquants par hameçonnage pour envoyer des messages de serveurs Teams fédérés aux organisations qui n'ont pas eu suffisamment de paranoïa pour fermer la plus grande porte ouverte de tous les temps sur leurs communications internes.
Comment puis-je t'exploiter, laisse-moi compter les moyens
Les produits des grandes entreprises technologiques sont construits sur la notion d'exploitation des données générées par les clients. Les médias sociaux en sont l'exemple classique : vous utilisez le produit "gratuitement", mais vos données sont exploitées et monétisées pour générer des revenus publicitaires. Mais le même principe s'applique aux abonnements payants. Cette réalité apparaît régulièrement dans les gros titres qui révèlent que MSFT, Slack ou un autre outil de collaboration se permet d'exploiter vos données, de faire des captures d'écran de vos appels et de vos fichiers, etc. Les géants de la technologie exploitent vos données à diverses fins commerciales. Plus récemment, l'utilisation des données clients pour entraîner leurs modèles d'IA est devenue une priorité pour les grandes entreprises technologiques. En d'autres termes, vous payez pour que vos données soient exploitées par les grandes entreprises. Profitez de cet incroyable privilège.
Mais si ces gros titres retiennent l'attention, il existe de nombreuses décisions de conception de produits, plus modestes mais significatives, qui laissent par défaut toutes les portes et fenêtres possibles ouvertes pour faciliter ce vol de données, je veux dire, errr.... monétisation des données.
Si ces "fonctionnalités" et "configurations par défaut" rendent votre instance MSFT Teams incroyablement vulnérable aux exploits des pirates, c'est la vie. En fait, il y a un grand avantage secondaire. Cela crée beaucoup de travail pour les équipes de sécurité, les sous-traitants et les fournisseurs de services qui doivent annuler tous les paramètres absurdes. Malheureusement, cela est considéré comme une nécessité importante, plutôt que comme le résultat d'une insécurité intentionnelle.
L'appel des technologies de l'information depuis le monde souterrain
Les détails de cet exploit particulier ont été communiqués à des organismes de presse tels que bleeping computer et Forbes. Essentiellement, MSFT laisse les fédérations Teams ouvertes par défaut, ce qui signifie qu'à moins que votre service informatique ne ferme cette porte de manière proactive, toute personne qui met en place un serveur et se fédère avec votre équipe Teams peut communiquer avec votre équipe et se faire passer pour une entité Teams interne légitime. Pour être clair, cela va complètement à l'encontre de l'objectif de la fédération, qui est de créer un "canal" ou des connexions secrètes et sécurisées afin que des groupes d'utilisateurs distincts, explicitement autorisés, puissent communiquer en toute sécurité.
C'est alors que les pirates informatiques lancent des attaques par hameçonnage. Chaque fois que vous permettez à des parties non fiables de se faire passer légitimement pour des parties fiables et d'inviter à l'interaction, les pirates informatiques peuvent en tirer profit. Depuis leur serveur Teams illicite fédéré à votre serveur Teams grand ouvert, les pirates peuvent envoyer des courriels frauduleux en se faisant passer pour votre équipe informatique et inciter les employés à fournir leurs informations d'identification. En prime, Teams, comme la plupart des autres suites de collaboration, donne aux administrateurs un accès divin à tout. Si ces attaques par hameçonnage d'informations d'identification parviennent à compromettre un administrateur informatique, les pirates peuvent alors s'emparer des clés du royaume. Le résultat est de faire l'objet d'un autre article de presse, comme Disney l'a fait avec la violation de données de Slack. Lisez notre blog sur la façon dont le mode de privilège administrateur par défaut est cassé.
La fédération est une porte extrêmement large qui doit être fermée par défaut
La fédération est un point d'entrée extrêmement puissant. Elle doit être fermée par défaut. Tout outil logiciel qui a un quelconque niveau d'accès à vos données ou flux de travail et qui laisse cette porte ouverte par défaut est absurde.
Les logiciels de collaboration sont au cœur de la manière dont votre organisation développe votre propriété intellectuelle, gère vos activités et échange vos données sensibles. Laisser les fédérations ouvertes par défaut pour votre suite de collaboration est, du point de vue des pratiques de sécurité, presque un crime.
Les grandes entreprises technologiques essaieront de rejeter la faute sur les autres. Elles peuvent reprocher à vos systèmes de filtrage des courriels de ne pas détecter les courriels malveillants provenant d'un soi-disant domaine de confiance, mais ce n'est pas juste. D'un point de vue statistique, même les systèmes de filtrage les plus sophistiqués ne captent qu'environ 85 % des courriels d'hameçonnage. Ils pourraient également blâmer les utilisateurs, mais les recherches montrent que même si vous organisez une formation à la sécurité, environ 10 % de vos employés seront toujours susceptibles d'être victimes d'attaques de phishing. Ils pourraient aussi blâmer les attaquants. Mais tout cela n'est qu'une fausse piste. Pour utiliser une autre analogie, les grandes entreprises technologiques laissent les portes de la grange grandes ouvertes et essaient ensuite de blâmer les chevaux qui s'enfuient. Bien essayé.
Avec Wire, vous devez activer la Fédération. Il n'est pas ouvert et prêt à être exploité dès sa sortie de l'emballage.
Mais cela ne s'arrête pas là. Il y a une différence entre une approche mature de la gestion de la fédération et une approche peu sérieuse. L'approche mature consiste à ne pas tout ouvrir d'un coup et à ne pas créer une mêlée générale comme le font certains produits non sérieux de "messagerie sécurisée". Avec Wire, vous gérez activement la fédération, ce qui signifie que vous devez sélectionner les utilisateurs qui peuvent se fédérer. C'est ainsi que l'on gère la sécurité d'un logiciel de collaboration à l'échelle de l'entreprise. Nous avons implémenté la fédération de cette manière parce que nous pensons qu'il est de notre responsabilité de fournir des logiciels qui protègent vos données, les rendent privées et conformes.
L'insécurité de vos données n'est pas un défaut. Ce n'est pas un bug. C'est une question de conception
Jen Easterly, directrice de l'Agence pour la cybersécurité et la sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency), a mis le doigt sur ce problème fondamental lors de la conférence Black Hat 2024. Cela vaut la peine de la relire, même si vous l'avez déjà vue.
"Nous n'avons pas de problème de cybersécurité. Nous avons un problème de qualité des logiciels. Nous avons une industrie de la cybersécurité de plusieurs milliards de dollars parce que, pendant des décennies, les fournisseurs de technologie ont été autorisés à créer des logiciels défectueux, non sécurisés et défectueux".
Cela semble dur. Mais en réalité, il s'agit d'une lecture généreuse de ce que nous observons ici.
La façon dont Teams configure la fédération pour qu'elle soit ouverte par défaut est tellement évidente qu'elle ne peut être qualifiée de défectueuse. Cela impliquerait qu'il s'agit d'une erreur involontaire ou d'un oubli. C'est pire. C'est le signe d'une approche intentionnelle, d'une insécurité par conception, parce que les fournisseurs de technologie veulent vraiment vos données. C'est pourquoi ils laissent autant de portes ouvertes que possible. Quelle autre raison pourrait-il y avoir ?
La question est donc de savoir ce que vous pouvez faire à ce sujet. C'est simple. Choisissez un autre logiciel.
Lorsqu'il s'agit de collaboration, Wire offre une plateforme d'entreprise pour construire un lieu de travail numérique collaboratif qui est puissamment sécurisé par défaut, d'une manière qui est délicieusement invisible pour les utilisateurs, et hautement contrôlable par les administrateurs informatiques. Si vous êtes fatigué de supporter cette malfaisance et d'en vivre les conséquences, il est temps d'envisager une alternative. Essayez Wire aujourd'hui gratuitement, souscrivez à notre plan payant ou contactez-nous pour demander une réunion et nous pouvons vous montrer à quoi ressemble un chemin véritablement sécurisé vers un lieu de travail numérique.
