histats

Des chercheurs découvrent des vulnérabilités dans les logiciels sous-jacents à Discord, Microsoft Teams et d’autres applications

Des chercheurs découvrent des vulnérabilités dans les logiciels sous-jacents à Discord, Microsoft Teams et d’autres applications

Capture d'écran 2021-02-24 sur  3

Piratage. Désinformation. Surveillance. CYBER est le podcast de Motherboard et rapporte sur les dessous sombres d’Internet.

Un groupe de chercheurs en sécurité a découvert un certain nombre de vulnérabilités dans le logiciel qui sous-tend les applications populaires telles que Discord, Microsoft Teams, Slack et bien d’autres, qui sont utilisées par des dizaines de millions de personnes dans le monde.

Lors de la conférence sur la cybersécurité Black Hat à Las Vegas jeudi, les chercheurs ont présenté leurs conclusions, décrivant comment ils auraient pu pirater des personnes utilisant Discord, Microsoft Teams et l’application de chat Element en exploitant le logiciel qui les sous-tend tous : Electron, qui est un framework construit sur Chromium open source et l’environnement javascript multiplateforme Node JS.

Dans tous ces cas, les chercheurs ont soumis des vulnérabilités à Electron pour les faire corriger, ce qui leur a valu plus de 10 000 $ en récompenses. Les erreurs ont été corrigées avant que les chercheurs ne publient leurs recherches.

Aaditya Purani, l’un des chercheurs qui a découvert ces vulnérabilités, a déclaré que “les utilisateurs réguliers doivent savoir que les applications Electron ne sont pas les mêmes que leurs navigateurs de tous les jours”, ce qui signifie qu’ils sont potentiellement plus vulnérables.

Dans le cas de Discord, le bug nécessitait uniquement que Purani et ses collègues envoient un lien malveillant vers une vidéo. Avec Microsoft Teams, la faille qu’ils ont trouvée pourrait être exploitée en invitant une victime à une réunion. Dans les deux cas, si les cibles cliquaient sur ces liens, les pirates auraient pu prendre le contrôle de leurs ordinateurs, a expliqué Purani dans le discours.

See also  Piratage de téléphone : comment savoir si votre téléphone a été piraté ? Et que peux tu faire?

Dans une interview avec Motherboard après la conférence, il a admis qu’il n’utilisait pas les applications Electron, choisissant plutôt d’utiliser des applications comme Discord ou Slack dans son navigateur, qui sont plus résistantes aux pirates.

“Si vous êtes plus paranoïaque, je vous recommande d’utiliser le site lui-même car vous bénéficiez de la protection de Chromium, qui est bien supérieure à celle de l’électron”, a déclaré Purani.

Pourtant, Purani a déclaré qu’avoir Electron sous autant d’applications est une bonne chose car “si vous n’avez qu’un seul framework, qui exécute toutes les applications, vous pouvez simplement vous concentrer sur le renforcement de ce même framework”.

Pour lui, l’un des principaux résultats de leurs recherches est qu’Electron est risqué justement parce que les utilisateurs sont très nombreux à cliquer sur des liens partagés dans Discord ou Microsoft Teams.

“Ne cliquez pas sur des liens louches”, a déclaré Purani.

Correction: Une version antérieure de cet article indiquait à tort que Spotify est construit sur Electron, alors qu’en fait ce n’est pas le cas. Nous nous excusons pour l’erreur.

Abonnez-vous à notre balado, CYBER. Abonnez-vous à notre nouvelle chaîne Twitch.

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *