Suivez-nous

Tech

Zoom règle une faille qui permettait d’allumer votre webcam sans permission

La plateforme de visioconférences Zoom a annoncé qu’elle avait traité un bug qui pouvait permettre à un site web d’allumer la webcam d’un Mac sans que l’utilisateur n’ait à donner son approbation.

Il y a

le

Apple MacBook Pro
© Unsplash / Tobias Lystad

Le chercheur en sécurité Jonathan Leitschuh a découvert que le service américain Zoom était victime de plusieurs failles de cybersécurité, la plus importante permettant l’allumage de la webcam à distance et sans l’accord de l’utilisateur. Pour rappel, l’application permet de réaliser des visioconférences rassemblant plusieurs participants et est principalement utilisé par des entreprises.

Néanmoins, il faut noter que ce bug ne concerne que les personnes disposant du client macOS sur leur Mac.

Zoom annonce finalement un patch

Dans les faits, il semblerait que Zoom soit en mesure d’outrepasser plusieurs règles de sécurité habituellement requises par Apple et les navigateurs, créant des fragilités au niveau de son serveur. En effet, pour fonctionner, le service se charge d’installer un serveur local sur l’ordinateur de l’utilisateur, ce qui permet l’accès à plusieurs fonctionnalités.

Ainsi, il est possible de créer des connexions à ce fameux serveur, qui semble loin de disposer de la sécurité nécessaire. En effet, c’est par son biais qu’un potentiel attaquant peut vous filmer via votre webcam sans que vous n’y ailliez consenti préalablement. Pour ce faire, il suffit à celui-ci de renseigner deux lignes de codes HTML après avoir indiqué qu’il souhaitait créer une session de visioconférence sur Zoom.

De plus, il semblerait que Zoom ait été prévenu de cette faille il y a désormais trois mois, mais qu’il n’ait pas agi pour combler celle-ci. Un simple patch a été mis en place, mais celui-ci n’était visiblement pas suffisamment performant pour que le problème soit considéré comme réglé, si l’on en croit le chercheur.

Pour sa part, Zoom a pris la parole dans un communiqué daté du 8 juillet. Le service a alors déclaré que l’utilisateur était mis « immédiatement au courant » puisque la fenêtre vidéo venait se placer au premier plan sur son ordinateur. Le communiqué a ensuite été mis à jour le 9 juillet, date à laquelle la société a annoncé que le patch était disponible après avoir été la cible de plusieurs protestations de la part de ses utilisateurs. Il est également possible de cocher l’option « Désactiver la vidéo quand je rejoins un meeting » pour éviter que la caméra ne se lance lorsque l’utilisateur est invité à rejoindre une visioconférence.

Newsletter 🍋 Inscrivez-vous à la newsletter tout juste sortie du four, rien que pour vous

Cliquez pour commenter

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Les bons plans 🔥

Dernières news

Newsletter 🍋 Inscrivez-vous à la newsletter tout juste sortie du four, rien que pour vous

Les tests