Microsoft Teams stockerait vos informations de connexion en clair dans votre disque dur… Microsoft est désormais au courant, mais n’a pas l’air pressée de corriger le tir.
À côté de Teams qui laisse passer les MdP en clair.
J’ai remarqué que Edge à tous mes mots de passe, mes onglets et ce, je ne sais d’où.
Je ne l’ai jamais utilisé, et encore moins demandé d’extraire mes mots de passe ou mes onglets de FF. EDGE est un gros espion.
Tu as du l’utilisé, de fait. Il s’amuse pas à le récupérer tout seul.
Exemple :
Comment sais tu que Edge a tous tes mots de passe ? Tu l’a lancé…
De là à ce que tu ais cliqué juste sans faire attention « importer mon historique / mdp », lors de la popup d’ouverture…
2 « J'aime »
Un jeton ne contient pas le login et le mot de passe, c’est faux. Un jeton ça valide qu’un utilisateur s’est logué via un logiciel.
Normalement, le jeton est lié au site (donc le site teams).
En gros, l’avoir devrait au pire permettre de se logguer sur teams à votre place (ce qui est déjà grave), mais en aucun cas de faire autre chose. Le token est lié à teams, pas à Sharepoint ou outlook.
1 « J'aime »
Microsoft se dit que entre ça et le post-it sur l’écran, on va pas en fair un fromage.
Je ferai quelques tests à temps perdu mais je suis du même avis que vous pour l’instant.
C’est censé être faux comme tu dis. Mais après tout tu peux stocker ce que tu veux dans un token.
Sauf si le token sert à authentifier le compte M365, auquel cas c’est open bar sur tous les services.
Exactement, j’ai jeté un oeil rapide à l’article source et il s’agit bien du token et absolument pas du mot de passe. Article racoleur et/ou écrit par quelqu’un qui ne comprend pas de quoi elle parle?
2 « J'aime »
Non, on ne stocke rien dans un token. Un token, c’est juste une référence à une autorisation. C’est comme un n° de chèque, un n° de vérification sur les tickets de tac-o-tac. L’info n’est pas dans le token, le token permet de retrouver l’info chez Ms, en interne. Et effectivement, normalement on lie le token à un ordi via son empreinte. L’empreinte est stockée (en total, ou en haché) chez Ms.
Si la partie Ms qui à partir d’un token génère une session n’est pas suffisament fiabilisée, un token permet d’usurper l’identité dans le périmètre du token (dans le cas de teams, c’est déjà un beau périmètre).
Si c’est bien fait, le token sera grillé car pas conforme à la signature envoyée et il ne servira à rien.
Un token est forcément lié à une machine, je pense que c’est pour cette raison que Microsoft ne passe pas cet incident en urgence, surtout qu’il a prévu la refonte complète de Team. Pour rappel le token est utilisé en blockchain pour les cryptomonnaies par exemple.
Alors j’ai peut être tout faux, j’utilise actuellement les JSON WEB Token et le but est de stocker des informations avec une durée de vie. Le tout étant crypté.
Si la durée de vie du token a expirée ou si tu n’as pas la clef privée, tu ne peux pas récupérer les informations dans le token.
Et pour récupérer ce token il faut de toute façon avoir accès au pc…
Le token est effectivement stocké sur la machine, mais il transite tout de même sur le réseau. Normalement le site ou l’application est censé protéger tout ca … Dans le cas contraire, un petit coup de wireshark à McDo hop on récupère ce token.
Oui pour les tokens JSON (Tu peux chiffrer si tu mets des informations sensibles ou que tu ne veux pas que quelqu’un puisse lire le contenu mais tu peux aussi les signer pour pas qu’il soit altérer/modifié et vérifier que c’est bien toi qui l’a généré).
Par contre tu as aussi des tokens générés qui sont juste une suite de caractères alphanumériques unique et qui servent ensuite à identifier un utilisateur (exemple: une URL envoyée par mail qui contient ce token et qui a une durée de validité). Dans ce cas on recherche le token stocké en base de données pour retrouver les infos associées.
@ultrabill : Non ça fonctionne pas. Tu ne peux pas t’authentifier avec sur le compte 365.
1 « J'aime »
Un JWT contient des informations + la validation de l’autorisation.
Il peut avoir une durée de vie ou non.
En revanche, les données ne sont absolument pas « cryptées » (déjà parce que « crypté » est un anglicisme, le mot à employer étant « chiffré », mais tout simplement parce que si les données y sont chiffrées, ton navigateur ne pourrait pas les utiliser).
Au final, ton navigateur peut
- Vérifier la validité du token (une sorte de checksum)
- Vérifier la date d’expiration du token
- Lire toutes les informations supplémentaires fournies lors de la génération du token (qui sont en JSON encodé en base 64)
- Transmettre l’autorisation au serveur qui va valider que c’est bien lui qui l’a créée et donner ou non accès aux ressources.
Quand je travaille avec les JWT je m’arrange à faire en sorte de les « stocker » en httponly. Du coup le navigateur ne peut (et ne doit) absolument pas traiter le token (vérifier, lire etc …), mais simplement le renvoyer dans des requêtes http.
Le serveur va déchiffrer (merci pour cette petite piqure de rappel 
) le token qui a été préalablement chiffré avec une clé privée.
Ce n’est clairement pas l’unique façon de faire 
Vous faites erreur.
Dans l’environnement professionnel le compte utilisateur pour de connecté a Teams est le compte Azur AD.
Ce qui fais que si on arrive à avoir le user et le mot de passe d’un tiers on peut utiliser sa session et donc avoir accès à absolument tout.