Passer au contenu

L’application Zoom sur macOS peut activer votre webcam sans votre autorisation

Une faille zero-day dans ce service de vidéoconférence permet à n’importe quel site de filmer les utilisateurs de Zoom à leur insu. Il suffit qu’ils s’y connectent.

Si vous faites partie des millions d’utilisateurs de l’application de vidéoconférence Zoom sur macOS, l’analyse de Jonathan Leitschuh devrait vous intéresser. Ce chercheur en sécurité a découvert que n’importe quel site web pouvait automatiquement initier une conférence vidéo avec les utilisateurs de Zoom, sans que ces derniers soient prévenus. Autrement dit : vous ouvrez un site web et quelqu’un peut immédiatement vous filmer, sans aucun message d’alerte.

Ce comportement magique est possible parce que l’application Zoom installe sur l’ordinateur un serveur web local qui est actif en permanence et sur lequel on peut très facilement créer des connexions. Tout ce que l’attaquant a besoin de faire, est de créer une session de vidéoconférence sur Zoom, de cocher la case « Video Participants on » et d’insérer deux petites lignes de code HTML dans son site web. Le prochain visiteur qui arrive et qui dispose de l’application Zoom est alors automatiquement embarqué dans cette session, avec la caméra activée.

La mauvaise nouvelle, c’est que l’éditeur n’a pas vraiment corrigé le tir, alors qu’il a été prévenu il y a déjà plus de trois mois. Il a développé un patch à la va-vite qui, selon le chercheur, reste assez simple à contourner. C’est donc une faille zero-day.

Zoom tente de rassurer ses clients

De son côté, Zoom relativise l’affaire. Dans un communiqué, il explique que, lorsqu’une session de vidéoconférence est initiée, l’application Zoom bascule en premier plan. « L’utilisateur ciblé est immédiatement au courant. Il peut soit quitter, soit switcher la vidéo en off directement », rassure l’éditeur. Par ailleurs, il précise qu’il est possible de limiter le risque au niveau du logiciel en activant l’option « Désactiver la vidéo quand je rejoins un meeting ». Dans ce cas, même si on se fait piéger par un lien, la caméra n’est pas lancée.

Toutefois, la création inopinée d’un éventuel flux vidéo n’est pas le seul risque, estime Jonathan Leitschuh. Comme le serveur web tourne en permanence, il suffirait qu’un pirate y trouve une faille critique pour faire de ce logiciel un excellent vecteur d’attaque à distance. Il suffirait alors d’amener la cible vers un site piégé pour, par exemple, exécuter automatiquement du code à distance. Une telle faille a d’ailleurs été trouvée il n’y a pas très longtemps par les experts de Tenable. Elle a été patchée il y a six mois.

Désinstaller Zoom n’est pas facile

La meilleure solution serait donc peut-être de désinstaller ce logiciel. Mais ce n’est pas si simple. Une désinstallation classique du client Zoom ne supprime pas le serveur web local qui, s’il est de nouveau sollicité pour une session de vidéoconférence, va le réinstaller ! Pour s’en débarrasser vraiment, il faut ouvrir une fenêtre de terminal, identifier et supprimer le processus du serveur web à la main, puis effacer ses fichiers avec la commande « rm ». Il n’y a pas d’autre solution.  

Source: Note de blog

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN