Faille critique dans Microsoft 365 : des comptes compromis
Une faille dans les applications Android de Microsoft 365, liée à un paramètre de sécurité désactivé par défaut, a permis à des attaquants de détourner des comptes utilisateurs. Selon une enquête de Dark Reading, cette vulnérabilité affectait des outils majeurs comme Word, PowerPoint et Excel, exposant les identifiants et les données sensibles.
Une configuration risquée et répandue
Le problème vient d'une option de sécurité conçue pour protéger l'authentification multi-appareils, notamment sur Android. Normalement activée, elle se retrouvait désactivée dans les versions mobiles des applications Microsoft 365, facilitant ainsi les attaques par account takeover. Les chercheurs soulignent que cette configuration par défaut inadaptée a touché un large panel d'utilisateurs, sans que ces derniers n'aient à modifier manuellement les paramètres.
Des conséquences immédiates pour les entreprises
Bien que Microsoft n'ait pas encore communiqué sur une correction, les entreprises utilisant ces applications sur des terminaux Android sont invitées à vérifier leurs configurations. Les attaquants exploitant cette faille pourraient accéder à des fichiers confidentiels, envoyer des emails frauduleux ou encore propager des malwares via les comptes compromis. Une vigilance accrue est donc recommandée en attendant un correctif officiel.
Source : Dark Reading. Synthèse éditoriale assistée par IA — TechnoExpress.