Protégez l’accès non authentifié de vos réunions

Ces personnes, qui reçoivent l’invitation de réunion y participent grâce à une URL. Cette URL peut être facilement communiquée à des tiers, qui à leur tour pourront rentrer dans la réunion.

La plupart des entreprises, ayant déployé Microsoft Teams, ont mis en place un système de salle d’attente qui sert de filtrage pour les personnes qui ont rejoint cette réunion sans s’authentifier au préalable.

Dans la plupart des cas, les organisateurs de la réunion devront accepter ces personnes non authentifiées, à rentrer dans la réunion. S’ils sont nombreux il est fort à parier que les organisateurs les acceptent tous d’un bloc, sans véritablement vérifier s’ils sont bien légitimes.

Ces mêmes entreprises, ont activé également des stratégies de réunion qui, dès lors qu’une personne tente d’enregistrer la réunion ainsi que son contenu, préviennent l’ensemble des participants que cette réunion va faire l’objet d’un enregistrement.

C’est logique, souhaitable et sûrement apprécié de tous, car il n’est pas acceptable d’être enregistré à son insu.

Cela étant, il existe un autre moyen, pour le moins détourné, d’enregistrer une réunion sans véritablement prévenir les utilisateurs dans Teams qu’elle va faire l’objet d’une captation. Comme précisé plus haut, l’url de la réunion peut être interprétée par un processus cloud qui va se connecter en tant « qu’invité » en reprenant son nom , en plus de la personne à qui a été envoyée la réunion et donc participer à cette dernière et comme vous vous en doutez, capter le contenu.

Dans ce type de scénario, les participants de la réunion ne seront pas prévenus de la captation du contenu.

Comme il est impossible de connaître l’état de sécurité d’une boîte aux lettres d’un correspondant à qui vous envoyez vos invitations, vous n’êtes donc pas à l’abri de vous faire enregistrer sans le savoir.

D’autre part, des solutions professionnelles sont disponibles et se comportent de la sorte, pour pouvoir fournir des solutions de récapitulatif de réunion basée sur l’IA. Pour avoir testé l’une d’entre elles, (otter.ai) elle est effectivement très efficace et adopte ce mode de fonctionnement. Ces solutions capturent par conséquent ce qu’il se dit, et ce qui s’affiche à l’écran sans en informer personne.

Cette situation pose, malgré tout, des problèmes de confidentialité et doit être contrôlée. L’interdiction d’inviter des personnes externes à des meetings ne sera pas bien vue par les utilisateurs, car c’est une option très pratique et largement répandue dans les entreprises.

En revanche, renforcer le processus de connexion à la réunion pour les personnes invitées, va de facto limiter le fonctionnement de ces applications.

À ce stade, Microsoft propose 2 choses, l’une native, l’autre disponible uniquement avec l’option Teams Premium.

• La première consiste à mettre un captcha pour toute personne utilisant une URL de réunion et qui n’est pas authentifiée (Implantation en PowerShell)
• La seconde, disponible uniquement pour les utilisateurs avec la licence Teams premium, permet d’envoyer un code à une adresse électronique, pour que la personne puisse l’insérer et ainsi parvenir à rejoindre la réunion.

Vous trouverez ci-dessous le lien qui vous explique comment mettre en place ces 2 fonctionnalités.

Exiger des vérifications pour participer à des réunions et webinaires Teams dans votre organisation – Microsoft Teams | Microsoft Learn

Attention tout de même si vous utilisez des salles de réunion Teams basées sur Android.

Laurent Teruin | MVP | https://workingtogether.fun/