> Mobilité > Protégez l’accès non authentifié de vos réunions

Protégez l’accès non authentifié de vos réunions

Mobilité - Par Laurent Teruin - Publié le 07 avril 2025
email

L'organisation de réunions en ligne depuis principalement l'arrivée du COVID est une activité quotidienne pour beaucoup d'utilisateurs. Ces derniers invitent sur Microsoft Teams des utilisateurs faisant partie de leur organisation mais également des utilisateurs que l'on pourrait qualifier « d’anonymes » car non authentifiés.

Protégez l’accès non authentifié de vos réunions

Ces personnes, qui reçoivent l’invitation de réunion y participent grâce à une URL. Cette URL peut être facilement communiquée à des tiers, qui à leur tour pourront rentrer dans la réunion.

Lien d’une réunion Teams

La plupart des entreprises, ayant déployé Microsoft Teams, ont mis en place un système de salle d’attente qui sert de filtrage pour les personnes qui ont rejoint cette réunion sans s’authentifier au préalable.

Paramétrage de la salle d’attente

Dans la plupart des cas, les organisateurs de la réunion devront accepter ces personnes non authentifiées, à rentrer dans la réunion. S’ils sont nombreux il est fort à parier que les organisateurs les acceptent tous d’un bloc, sans véritablement vérifier s’ils sont bien légitimes.

Ces mêmes entreprises, ont activé également des stratégies de réunion qui, dès lors qu’une personne tente d’enregistrer la réunion ainsi que son contenu, préviennent l’ensemble des participants que cette réunion va faire l’objet d’un enregistrement.

Contrat de participants

C’est logique, souhaitable et sûrement apprécié de tous, car il n’est pas acceptable d’être enregistré à son insu.

Cela étant, il existe un autre moyen, pour le moins détourné, d’enregistrer une réunion sans véritablement prévenir les utilisateurs dans Teams qu’elle va faire l’objet d’une captation. Comme précisé plus haut, l’url de la réunion peut être interprétée par un processus cloud qui va se connecter en tant « qu’invité » en reprenant son nom , en plus de la personne à qui a été envoyée la réunion et donc participer à cette dernière et comme vous vous en doutez, capter le contenu.

Agent de captation dans la réunion

Dans ce type de scénario, les participants de la réunion ne seront pas prévenus de la captation du contenu.

Comme il est impossible de connaître l’état de sécurité d’une boîte aux lettres d’un correspondant à qui vous envoyez vos invitations, vous n’êtes donc pas à l’abri de vous faire enregistrer sans le savoir.

D’autre part, des solutions professionnelles sont disponibles et se comportent de la sorte, pour pouvoir fournir des solutions de récapitulatif de réunion basée sur l’IA. Pour avoir testé l’une d’entre elles, (otter.ai) elle est effectivement très efficace et adopte ce mode de fonctionnement. Ces solutions capturent par conséquent ce qu’il se dit, et ce qui s’affiche à l’écran sans en informer personne.

Cette situation pose, malgré tout, des problèmes de confidentialité et doit être contrôlée. L’interdiction d’inviter des personnes externes à des meetings ne sera pas bien vue par les utilisateurs, car c’est une option très pratique et largement répandue dans les entreprises.

En revanche, renforcer le processus de connexion à la réunion pour les personnes invitées, va de facto limiter le fonctionnement de ces applications.

À ce stade, Microsoft propose 2 choses, l’une native, l’autre disponible uniquement avec l’option Teams Premium.

  • La première consiste à mettre un captcha pour toute personne utilisant une URL de réunion et qui n’est pas authentifiée (Implantation en PowerShell)
  • La seconde, disponible uniquement pour les utilisateurs avec la licence Teams premium, permet d’envoyer un code à une adresse électronique, pour que la personne puisse l’insérer et ainsi parvenir à rejoindre la réunion.

Vous trouverez ci-dessous le lien qui vous explique comment mettre en place ces 2 fonctionnalités.

Exiger des vérifications pour participer à des réunions et webinaires Teams dans votre organisation – Microsoft Teams | Microsoft Learn

Attention tout de même si vous utilisez des salles de réunion Teams basées sur Android.

Laurent Teruin | MVP | https://workingtogether.fun/

Téléchargez cette ressource

Sécurité et conformité du Cloud

Sécurité et conformité du Cloud

Ce guide vous permettra de revisiter vos connaissances et repenser votre posture en matière de sécurité et de conformité dans le cloud. Vous découvrirez comment mettre en place et déployer une stratégie de sécurité fluide et transparente. Un guide essentiel pour sécuriser votre cloud de façon pérenne.

Mobilité - Par Laurent Teruin - Publié le 07 avril 2025