Des chercheurs en sécurité de Check Point ont documenté quatre vulnérabilités dans Microsoft Teams qui permettent de modifier l’affichage de messages, de falsifier des notifications et d’usurper le nom d’un interlocuteur lors d’une conversation ou d’un appel. Microsoft a publié des correctifs entre août 2024 et fin octobre 2025. Aucun cas d’exploitation active n’a été observé à ce jour.

Comment fonctionnent les vulnérabilités

• Réaffectation d’identifiant de message – Un identifiant associé à un message peut être réutilisé pour modifier le texte affiché sans déclencher la mention « édité ». Le message à l’ecran semble être l’original alors qu’il a été modifié.
• Manipulation des métadonnées de notification – Certains champs fournis par le serveur et utilisés pour générer les notifications (nom visible, aperçu du texte, informations sur l’expediteur) peuvent être altérés avant affichage, rendant une alerte semblable a celle d’un dirigeant ou d’un service interne.
• Usurpation d’identite dans les conversations – L’affichage du nom d’un participant peut etre modifie a la volee, permettant a un attaquant de se faire passer pour un collegue dans une discussion privee.
• Usurpation d’identite lors d’appels audio/video – Dans les appels, le nom affiche peut etre falsifie pour creer une fausse confiance visuelle lors d’un appel.

Chronologie et severite

Check Point a averti Microsoft en mars 2024. Les problemes sont references notamment sous l’identifiant CVE-2024-38197 (CVSS 6.5), initialement classe comme vulnerabilite de spoofing affectant Teams pour iOS. Microsoft a deploye plusieurs correctifs a partir d’aout 2024, la derniere mise a jour concernant la partie audio et video etant publiee fin octobre 2025.

Conditions d’exploitation et risques

L’exploitation de ces failles suppose qu’un acteur malveillant dispose deja d’un acces valide au tenant ou a une session : compte compromis, session active, invité malveillant ou integration interne detournee (bot, application connectee). Une fois present, l’attaquant peut inserer du contenu falsifie, manipuler l’affichage ou usurper une identite dans l’interface, ce qui peut pousser un employe a valider une demande urgente ou a transmettre un document sensible.

Recommandations

• Appliquer immediatement les mises a jour de Teams publiees entre 2024 et 2025.
• Restringer strictement les comptes invites et limiter les droits associes aux invités.
• Auditer et controler les applications et bots connectes a Teams pour detecter des integrations suspectes.
• Imposer l’authentification multifacteur pour reduire le risque de comptes compromises.
• Surveiller regulierement les journaux Teams pour detecter des editions silencieuses ou des changements inhabituels d’identites affichees.

En pratique, le maintien a jour des clients Teams et un resserrement des controles d’acces reduisent significativement la surface d’attaque.