Le chercheur en sécurité Jonathan Leitschuh a découvert que le service américain Zoom était victime de plusieurs failles de cybersécurité, la plus importante permettant l’allumage de la webcam à distance et sans l’accord de l’utilisateur. Pour rappel, l’application permet de réaliser des visioconférences rassemblant plusieurs participants et est principalement utilisé par des entreprises.
Néanmoins, il faut noter que ce bug ne concerne que les personnes disposant du client macOS sur leur Mac.
Zoom annonce finalement un patch
Dans les faits, il semblerait que Zoom soit en mesure d’outrepasser plusieurs règles de sécurité habituellement requises par Apple et les navigateurs, créant des fragilités au niveau de son serveur. En effet, pour fonctionner, le service se charge d’installer un serveur local sur l’ordinateur de l’utilisateur, ce qui permet l’accès à plusieurs fonctionnalités.
Ainsi, il est possible de créer des connexions à ce fameux serveur, qui semble loin de disposer de la sécurité nécessaire. En effet, c’est par son biais qu’un potentiel attaquant peut vous filmer via votre webcam sans que vous n’y ailliez consenti préalablement. Pour ce faire, il suffit à celui-ci de renseigner deux lignes de codes HTML après avoir indiqué qu’il souhaitait créer une session de visioconférence sur Zoom.
This is my #ZeroDay #PublicDisclosure of a security vulnerability impacting 4+ Million of @zoom_us's users who have the Zoom Client installed on Mac.
Zoom had 90-days + two weeks to resolve this #vulnerability and failed to do so.https://t.co/hvsoS79bos
— Jonathan Leitschuh – JLLeitschuh@infosec.exchange (@JLLeitschuh) July 8, 2019
De plus, il semblerait que Zoom ait été prévenu de cette faille il y a désormais trois mois, mais qu’il n’ait pas agi pour combler celle-ci. Un simple patch a été mis en place, mais celui-ci n’était visiblement pas suffisamment performant pour que le problème soit considéré comme réglé, si l’on en croit le chercheur.
Pour sa part, Zoom a pris la parole dans un communiqué daté du 8 juillet. Le service a alors déclaré que l’utilisateur était mis « immédiatement au courant » puisque la fenêtre vidéo venait se placer au premier plan sur son ordinateur. Le communiqué a ensuite été mis à jour le 9 juillet, date à laquelle la société a annoncé que le patch était disponible après avoir été la cible de plusieurs protestations de la part de ses utilisateurs. Il est également possible de cocher l’option « Désactiver la vidéo quand je rejoins un meeting » pour éviter que la caméra ne se lance lorsque l’utilisateur est invité à rejoindre une visioconférence.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
