Un nouveau rapport publié par Check Point Research revient sur plusieurs vulnérabilités découvertes dans Microsoft Teams. Ces failles, désormais corrigées par Microsoft, permettaient à des attaquants d’usurper l’identité d’utilisateurs et de modifier discrètement des messages.

Microsoft Teams, une cible fréquente

Utilisé par plus de 320 millions d’utilisateurs chaque mois, Microsoft Teams est devenu un outil de communication incontournable, mais aussi un terrain de jeu pour les cybercriminels, notamment dans le cadre d’attaques par ingénierie sociale.

Les chercheurs en sécurité de Check Point Research ont mené une analyse approfondie de Microsoft Teams, en particulier en se positionnant en tant qu’invités externes et attaquants.

Ils ont pu identifier plusieurs faiblesses permettant d’envisager plusieurs scénarios d’exploitation :

• Édition invisible des messages : en réutilisant certains identifiants internes, un attaquant pouvait modifier un message déjà envoyé, sans que le tag “Modifié” n’apparaisse. Les conversations pouvaient donc être réécrites a posteriori.
• Usurpation d’identité via les Notifications : les champs de notification pouvaient être altérés pour faire apparaître un message comme provenant d’un dirigeant ou d’un collègue.
• Modification du nom affiché dans les discussions privées : en manipulant le “sujet” d’une conversation, un attaquant pouvait changer le nom visible de la discussion, brouillant ainsi la perception de son interlocuteur.
• Usurpation d’identité lors d’un appel audio ou vidéo : une autre vulnérabilité permettait de falsifier le nom du correspondant affiché pendant un appel initié par Teams, rendant toute vérification visuelle inutile.

Comment se protéger de ces vulnérabilités ?

Toutes ces failles, associées à la référence CVE-2024-38197, ont été signalées à Microsoft le 23 mars 2024 et un premier correctif a été déployé en août 2024.

Mais, d’après les chercheurs en sécurité, le déploiement des correctifs s’est terminé en octobre 2025 : “Microsoft a étudié ces problèmes et déployé une série de correctifs tout au long de l’année 2024, le correctif final pour les appels vidéo et audio ayant été déployé fin octobre 2025.“, peut-on lire. Ce qui explique la sortie tardive de ce rapport.

D’ailleurs, la page de la CVE-2024-38197 disponible sur le site de Microsoft parle uniquement de Microsoft Teams pour iOS. Pourtant, elle fait aussi référence à un lien vers le Play Store pour Android et le rapport de Check Point montre bien un impact visible sur toutes les plateformes. Force est de constater que les correctifs sont intégrés dans les dernières versions des applications Microsoft Teams.

Check Point conclut : “Les attaquants ne se contentent plus de pénétrer les systèmes, ils s’introduisent désormais dans les conversations.”

Source