Une faille critique détecté dans les solutions de vidéoconférence “Zoom”

cyber

Une faille repérée dans l’application de vidéoconférences Zoom permet à un utilisateur malveillant de vous filmer et de joindre une discussion sans que vous le sachiez. Malgré la publication d’un patch, le danger est toujours présent selon des experts.

Solution phare de vidéoconférence, “Zoom” pourrait payer les frais de sa popularité. Une faille exposé et repérée par le chercheur en sécurité Jonathan Leitschuh, celle-ci permet à n’importe quelle page web de se connecter pour entamer un appel vidéo avec n’importe quel utilisateur de Zoom sans même que ce dernier n’en soit averti. “Cette faille expose potentiellement jusqu’à 750 000 entreprises dans le monde entier qui utilisent Zoom pour mener leurs activités quotidiennes”.

Une faille avec un effet désastreux

La vulnérabilité mise en lumière par le chercheur “permet à n’importe quel site Web de joindre de force un utilisateur à un appel Zoom, avec sa caméra vidéo activée, sans l’autorisation de l’utilisateur”. Mais aussi : “si vous avez déjà installé le client Zoom et que vous l’avez désinstallé, vous avez toujours un serveur web localhost sur votre machine qui se fera un plaisir de réinstaller le client Zoom pour vous, sans nécessiter aucune interaction de l’utilisateur en votre nom à part visiter une page web. Cette fonctionnalité de réinstallation continue de fonctionner jusqu’à ce jour”, a également fait savoir ce dernier, précisant que les développeurs de l’application n’ont pas encore trouvé de parade à cette faille !

Dans le détail, la faille repérée par Jonathan Leitschuh installe sur votre ordinateur un serveur web local actif en permanence, si bien qu’un utilisateur malveillant peut tout à fait vous filmer à votre insu. “En plus de cela, cette vulnérabilité aurait permis à n’importe quelle page Web de DOS (Denial of Service) un Mac en joignant à plusieurs reprises un utilisateur à un appel invalide”, a fait savoir le chercheur en cybersécurité.

Bien qu’elle ait été divulguée dès le 26 mars dernier aux développeurs de l’application, ces derniers n’ont, semble-t-il, pas pris la mesure de la gravité de cette faille, comme l’a fait savoir Jonathan Leitschuh, regrettant que ces derniers aient “mis 10 jours pour confirmer la vulnérabilité”, avant de prendre des premières mesures à compter du 11 juin dernier, “seulement 18 jours avant la fin du délai de 90 jours pour la divulgation publique”.

“Zoom n’a pas réussi à confirmer rapidement l’existence réelle de la vulnérabilité signalée et n’a pas réussi à faire livrer une correction au problème aux clients dans un délai raisonnable. Une organisation de ce profil et avec une telle base d’utilisateurs aurait dû être plus proactive dans la protection de ses utilisateurs contre les attaques”, épingle alors le chercheur, qui a indiqué avoir divulgué la faille au grand public une fois passé un délai de 90 jours, expiré le 24 juin dernier.

un patch qui ne règle pas tout

A noter que, malgré le développement d’un patch édité le 9 juillet dernier, le problème ne semble pas réglé, selon Jonathan Leitschuh. “Zoom a fini par corriger cette vulnérabilité, mais tout ce qu’ils ont fait, c’est empêcher l’attaquant d’allumer la caméra vidéo de l’utilisateur. Ils n’ont pas désactivé la capacité d’un attaquant à se joindre de force à un appel à quiconque visite un site malveillant”, a ainsi fait savoir le chercheur en sécurité, pour qui la faille incriminée pourrait bien être une vulnérabilité zero day. Ce dernier recommande, via Github, ainsi aux utilisateurs de cocher la case pour désactiver la vidéo lorsqu’ils participent à une réunion dans Zoom, et si l’utilisateur souhaite supprimer l’application, de trouver l’ID du processus, ce qui peut être fait via la commande `lsof -i :19421′, pour activer la suppression du répertoire ~/.zoomus et d’empêcher ainsi la réinstallation de l’application.

Source: www.zdnet.fr

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Next Post

GrandCrab Ransomware: la fin d'une gloire?

Une bonne nouvelle vient d’être annoncé et ce qu’on peut dire, c’est qu’elle fait le bonheur de plusieurs victimes du fameux Ransoware GrandCrab. En effet, Le FBI a mis à disposition des membres de son programme InfraGard trois clés cryptographiques sur lesquelles se fondent les dernières versions de GandCrab (4 à 5.2). […]