Posté le juillet 10, 2019 à 21:16

L’APPLICATION ZOOM POUR MAC PRÉSENTE UNE FAILLE: VOTRE WEBCAM RISQUE D’ÊTRE PIRATÉE

Selon une enquête récente d’un chercheur en sécurité, Jonathan Leitschuh, ceux qui utilisent l’application de vidéoconférence de Mac, Zoom, risquent d’être piratés. Le danger vient d’une faille de sécurité qui n’a été révélée au public que récemment.

Quel est le problème ?

Selon l’explication de Leitschuh, la faille exploite la vulnérabilité architecturale de Zoom. L’application est connue par beaucoup pour son option simple et rapide «cliquer pour rejoindre». Il suffit de cliquer sur le lien d’un navigateur pour qu’une personne soit envoyée directement à une réunion vidéo dans l’application Zoom. Cependant, selon la publication de Leitschuh, cela se fait d’une manière très mal sécurisée. Grâce à une faille qu’il a découverte, n’importe qui pouvait rejoindre un appel sans obtenir la permission. Pire encore, ils pourraient même activer les webcams des utilisateurs sans les approuver ou même en savoir.

Même si ce n’est pas la fin, il est également possible qu’une page Web déclenche une attaque DOS ou par déni de service en continuant de joindre l’appel invalide.

Mais pourquoi donc est-ce un problème? Pourquoi ne pas simplement désinstaller Zoom et en finir? Parce que désinstaller Zoom ne résoudra pas le problème. Selon Leitschuh, Zoom réalise sa fonction très utile cliquer-pour-joindre en installant un serveur Web sur votre Mac. La désinstallation de l’application ne désinstallera pas le serveur Web. Cependant, le serveur Web réinstallera l’application si vous essayez de la supprimer. Par ailleurs, il le fera sans votre permission, ni sans que vous soyez au courant.

Bien sûr, Zoom a rendu tout cela possible en premier lieu, dans le but d’offrir aux utilisateurs une meilleure expérience. L’expérience utilisateur médiocre que l’application était capable de proposer auparavant permettait de faire des modifications, d’appliquer des correctifs, etc., le tout pour rendre les réunions transparentes en un clic possibles, simples et agréables.

Leitschuh ne semble pas y croire pour autant. Il affirme qu’avoir une application installée s’exécutant sur un serveur Web sur les machines locales des utilisateurs avec une API totalement non documentée est extrêmement superficiel. De plus, le fait que les sites Web peuvent interagir avec le serveur Web sans même que l’utilisateur le sache est très certainement un indicateur de danger. Les décisions de Zoom ont mis des millions de personnes dans une situation vulnérable et ouverte aux attaques.

Leitschuh vs. Zoom

Dès que Leitschuh a découvert la faille, il en a informé Zoom, qui était de retour en mars. Il a ensuite dû attendre 90 jours avant de divulguer ses trouvailles au public. De son côté, la société n’a pratiquement rien fait, puis elle a publié un correctif pour le problème le dernier jour avant la période de 90 jours au cours de laquelle Leitschuh devait rester silencieux. Le correctif empêchait les pages Web d’activer automatiquement les caméras des utilisateurs. Cependant, le correctif ne résout que partiellement le problème et il a également régressé il y a seulement trois jours, permettant à nouveau d’activer les webcams sans autorisation.

Zoom a commenté en déclarant qu’ils avaient réagi immédiatement. Ils ont également commenté ces problèmes, affirmant que l’installation d’un serveur Web local sur des périphériques Mac devait être effectuée comme solution de contournement à un changement d’architecture intervenu dans le cadre de Safari 12. La modification obligeait les utilisateurs à accepter de lancer Zoom avant chaque réunion. En installant un serveur Web local, tous les appels entrants sont acceptés automatiquement de la part de l’utilisateur, ce qui évite un clic supplémentaire avant de rejoindre la conversation. Ils ont également commenté une éventuelle attaque par déni de service, déclarant qu’il n’existait aucun indice que personne ait déjà exploité cette faille.

En outre, ils affirment que les utilisateurs pourraient simplement modifier les paramètres de leur appareil photo, indiquant qu’ils devraient le réparer eux-mêmes s’ils craignent que quelqu’un ne s’en serve pour les espionner.

Leitschuh a également formulé d’autres plaintes contre la société, ce que Zoom a nié. Par exemple, Leitschuh a déclaré que Zoom n’avait pas réussi à confirmer que la faille existait même au début. Ils ont certainement échoué à publier un correctif à temps. La société nie tout cela, affirmant que ses experts ont prêté toute leur attention à la faille en juste dix minutes.

En fin de compte, rien n’a été fait, et le porte-parole de Zoom a admis qu’il ne pouvait rien faire pour aider ses clients en ce moment. Les utilisateurs sont ceux qui doivent localiser et supprimer manuellement le client Web et Zoom lui-même.