Aperçu
echo for Microsoft Teams
Client Windows · Administrateur

Sécurité et protection des terminaux

Comment fonctionne techniquement l'identification de l'appelant en direct, ce que les logiciels de sécurité peuvent remarquer et comment préparer votre protection des terminaux

Produit: echo for TeamsMise à jour: Juin 2026Version: 1.0
💡 Ce guide est optimisé pour l’export PDF. Imprimer → « Enregistrer au format PDF », activer les graphiques d’arrière-plan.

Aperçu

Le client Windows echo fournit l'identification de l'appelant en direct : lors d'un appel Microsoft Teams entrant, il affiche les coordonnées de l'appelant avant même que l'appel ne soit accepté. Pour cela, le client doit détecter la notification d'appel Teams et y lire le numéro de téléphone de l'appelant.

Cette page explique quels mécanismes système le client utilise à cette fin, pourquoi les logiciels de protection des terminaux (antivirus, EDR) peuvent y prêter attention et comment préparer votre environnement afin que des alertes ou faux positifs ne perturbent pas l'exploitation.

À qui s'adresse cette page ?Aux administrateurs IT et aux équipes de sécurité qui déploient le client Windows echo ou l'examinent avant sa mise en service (p. ex. validation logicielle, runbooks SOC, allowlisting EDR).

Fonctionnement technique de l'identification de l'appelant

Les versions récentes de Microsoft Teams affichent la notification d'appel entrant d'une manière qui n'est plus lisible via les interfaces d'accessibilité de Windows (UI Automation) qu'utilisaient les versions précédentes du client echo. Le client lit donc le numéro de téléphone directement dans la notification telle qu'affichée à l'écran :

MécanismeCe que fait le clientPortée
Hook d'événements de fenêtreEnregistre un hook d'événements système (SetWinEventHook) pour être notifié lorsque la notification d'appel Teams apparaît. Il s'agit d'un mécanisme de notification passif — aucun code n'est injecté dans d'autres processus.Permanent, passif
Capture d'écranLorsque la notification d'appel Teams apparaît, le client capture uniquement la petite zone d'écran de cette notification (environ 370 × 250 pixels) pour y lire le numéro de téléphone.Uniquement pendant qu'un appel sonne, env. 2 captures par seconde pendant quelques secondes
Reconnaissance de texte (OCR)L'image capturée est convertie en texte avec le moteur OCR intégré à Windows puis analysée à la recherche d'un numéro de téléphone.En mémoire uniquement
Interfaces d'accessibilitéPour les autres fenêtres Teams (p. ex. la fenêtre d'appel active), le client continue d'utiliser Windows UI Automation, comme auparavant.Piloté par événements

Tout aussi important, ce que le client ne fait pas :

Remarque sur la protection des donnéesMicrosoft Teams affiche les notifications de chat dans la même fenêtre de notification que les notifications d'appel. La reconnaissance de texte peut donc traiter brièvement en mémoire le texte d'aperçu d'une notification de chat. Ce texte est immédiatement supprimé ; il n'est ni stocké, ni journalisé en production, ni transmis.

Pourquoi les logiciels de sécurité peuvent y prêter attention

Les API de capture d'écran sont également utilisées par des logiciels malveillants (screen grabbers, info stealers). La protection des terminaux basée sur le comportement (EDR comme Microsoft Defender for Endpoint, CrowdStrike Falcon, SentinelOne, etc.) surveille donc ces schémas d'API. En pratique, cela peut conduire à :

Le schéma que les produits de sécurité considèrent comme réellement malveillant — capture continue et furtive combinée à l'exfiltration des images — ne s'applique pas au client echo : les captures sont pilotées par événements, minuscules et purement locales, et l'application est une application de bureau visible et signée.

Préparation recommandée

1

Ne déployer que le paquet original signé

Distribuez le client Windows echo exactement tel qu'il est livré par Snapbean. Ne repaquetez pas l'application et ne la re-signez pas — la signature de l'éditeur est le principal signal de confiance pour SmartScreen et la protection des terminaux.

2

Allowlisting par éditeur

Si vous utilisez le contrôle des applications (AppLocker, WDAC) ou l'allowlisting EDR, créez la règle sur la base du certificat de l'éditeur (Snapbean Software AG) plutôt que sur des chemins de fichiers ou des hachages. Les règles d'éditeur survivent aux mises à jour de l'application ; les règles de hachage doivent être renouvelées à chaque version.

3

Informer votre SOC / documenter le comportement attendu

Ajoutez les éléments suivants à votre runbook SOC ou à la documentation de votre inventaire logiciel :

  • Lors des appels entrants, le client Windows echo capture la zone d'écran de la notification d'appel Microsoft Teams (piloté par événements, quelques secondes, env. 370 × 250 pixels) et extrait le numéro de téléphone de l'appelant avec le moteur OCR intégré à Windows.
  • Les images capturées sont traitées uniquement en mémoire et ne sont jamais stockées ni transmises.
  • Les alertes corrélées (« activité de capture d'écran » de echoForTeams.exe au moment d'un appel Teams entrant) constituent un comportement attendu.
4

En cas de faux positif

  1. Vérifiez la signature du fichier (éditeur : Snapbean Software AG) et le chemin d'installation.
  2. Restaurez le fichier depuis la quarantaine et ajoutez une exclusion (de préférence basée sur l'éditeur, voir étape 2).
  3. Signalez le faux positif à votre fournisseur de protection des terminaux — cela améliore le verdict pour tous les clients. Vous pouvez référencer cette page comme documentation éditeur du comportement.
ImportantSi la politique de votre organisation bloque entièrement les API de capture d'écran (p. ex. via des politiques WDAC ou de réduction de la surface d'attaque strictes), l'identification de l'appelant en direct ne peut pas fonctionner sur les machines concernées. Dans ce cas, définissez une exception pour le client Windows echo ou contactez le support Snapbean pour évaluer des alternatives.