Si vous faites partie des millions d’utilisateurs de l’application de vidéoconférence Zoom sur macOS, l’analyse de Jonathan Leitschuh devrait vous intéresser. Ce chercheur en sécurité a découvert que n’importe quel site web pouvait automatiquement initier une conférence vidéo avec les utilisateurs de Zoom, sans que ces derniers soient prévenus. Autrement dit : vous ouvrez un site web et quelqu’un peut immédiatement vous filmer, sans aucun message d’alerte.
This is my #ZeroDay #PublicDisclosure of a security vulnerability impacting 4+ Million of @zoom_us's users who have the Zoom Client installed on Mac.
Zoom had 90-days + two weeks to resolve this #vulnerability and failed to do so.https://t.co/hvsoS79bos
— Jonathan Leitschuh (@JLLeitschuh) July 8, 2019
Ce comportement magique est possible parce que l’application Zoom installe sur l’ordinateur un serveur web local qui est actif en permanence et sur lequel on peut très facilement créer des connexions. Tout ce que l’attaquant a besoin de faire, est de créer une session de vidéoconférence sur Zoom, de cocher la case « Video Participants on » et d’insérer deux petites lignes de code HTML dans son site web. Le prochain visiteur qui arrive et qui dispose de l’application Zoom est alors automatiquement embarqué dans cette session, avec la caméra activée.
This Zoom vulnerability is bananas. I tried one of the proof of concept links and got connected to three other randos also freaking out about it in real time. https://t.co/w7JKHk8nZy pic.twitter.com/arOE6DbQaf
— Matt Haughey (@mathowie) July 9, 2019
La mauvaise nouvelle, c’est que l’éditeur n’a pas vraiment corrigé le tir, alors qu’il a été prévenu il y a déjà plus de trois mois. Il a développé un patch à la va-vite qui, selon le chercheur, reste assez simple à contourner. C’est donc une faille zero-day.
Zoom tente de rassurer ses clients
De son côté, Zoom relativise l’affaire. Dans un communiqué, il explique que, lorsqu’une session de vidéoconférence est initiée, l’application Zoom bascule en premier plan. « L’utilisateur ciblé est immédiatement au courant. Il peut soit quitter, soit switcher la vidéo en off directement », rassure l’éditeur. Par ailleurs, il précise qu’il est possible de limiter le risque au niveau du logiciel en activant l’option « Désactiver la vidéo quand je rejoins un meeting ». Dans ce cas, même si on se fait piéger par un lien, la caméra n’est pas lancée.
Toutefois, la création inopinée d’un éventuel flux vidéo n’est pas le seul risque, estime Jonathan Leitschuh. Comme le serveur web tourne en permanence, il suffirait qu’un pirate y trouve une faille critique pour faire de ce logiciel un excellent vecteur d’attaque à distance. Il suffirait alors d’amener la cible vers un site piégé pour, par exemple, exécuter automatiquement du code à distance. Une telle faille a d’ailleurs été trouvée il n’y a pas très longtemps par les experts de Tenable. Elle a été patchée il y a six mois.
Désinstaller Zoom n’est pas facile
La meilleure solution serait donc peut-être de désinstaller ce logiciel. Mais ce n’est pas si simple. Une désinstallation classique du client Zoom ne supprime pas le serveur web local qui, s’il est de nouveau sollicité pour une session de vidéoconférence, va le réinstaller ! Pour s’en débarrasser vraiment, il faut ouvrir une fenêtre de terminal, identifier et supprimer le processus du serveur web à la main, puis effacer ses fichiers avec la commande « rm ». Il n’y a pas d’autre solution.
Source: Note de blog
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.