Suite à une grosse faille, ZOOM laisse un libre accès à votre PC/Mac

11 avril 2021 à 12h35
10
Comment bien gérer les réunions sur Zoom ?

Plusieurs failles sur l'application de vidéoconférence ZOOM ont été repérées par des chercheurs en cybersécurité néerlandais. En les exploitant, il leur a été possible de prendre le contrôle d'un ordinateur à distance.

Ces derniers mois, ZOOM avait communiqué à plusieurs reprises pour vanter ses progrès en matière de sécurité, alors que des voix s'élevaient pour pointer du doigt les vulnérabilités dont souffraient le logiciel de visioconférence , qui accueillait chaque jour un nombre d'utilisateurs plus important. Mais les révélations de chercheurs en cybersécurité néerlandais mettent une nouvelle fois à mal l'entreprise américaine. Ce ne sont pas une, ni deux, mais trois failles zero-day de sécurité qui ont été dévoilées par messieurs Daan Keuper et Thijs Alkemade.

Une prise de contrôle de votre machine à distance, sans même vous en apercevoir

Les trois failles zero-day découvertes sont assez problématiques, pour ne pas dire « graves », puisqu'elles permettent à un éventuel pirate informatique de prendre le contrôle de votre PC ou de Mac, sans même que vous puissiez vous en apercevoir.

L'avantage, si tant est qu'il y en ait un, est qu'il s'agit de failles de type zero-day. Pour information, une vulnérabilité zero-day consiste en une faille pour laquelle aucun correctif n'a encore été publié. Son effet de surprise permet aux hackers d'en profiter avant que les entreprises concernées ou les chercheurs en sécurité s'aperçoivent de la vulnérabilité. Mais cela limite en même temps la propagation de la connaissance de cette faille.

C'est dans le cadre du concours de hacking Pwn2Own, organisé deux fois par an, que les chercheurs ont découvert ces vulnérabilités. Une découverte qui leur rapporte tout de même la bagatelle de 200 000 euros. D'autres chercheurs ont aussi décroché 200 000 euros en découvrant une faille permettant à un pirate d'exécuter du code arbitraire sur un ordinateur, en utilisant un logiciel concurrent : Microsoft Teams .

Seul l'outil « Chat » de ZOOM est vulnérable

Les deux hackers éthiques de l'entreprise néerlandaise Computest n'ont eu qu'à s'assurer, pour exploiter les failles, que l'application ZOOM était en cours d'exécution sur les machines ciblées, qu'il s'agisse de la version Windows ou du client de bureau pour Mac. Ils ont ainsi eu accès au microphone et à la webcam des appareils, mais aussi à l'ensemble des fichiers des ordinateurs. Ils ont même pu procéder au téléchargement de l'historique de navigation Web des machines touchées.

Si ZOOM n'a pas réagi dans un premier temps, les équipes de l'application ont fini par communiquer et indiquer que seule Zoom Chat, la messagerie du groupe, était concernée. Les « salles de réunion » et webinaires du logiciel ne sont, eux, pas touchés. La firme américaine a affirmé être en train de travailler à la résolution du problème.

Source : Tom's Guide

Modifié le 12/04/2021 à 09h35
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
10
8
orionb1
La faille Teams m’intéresse, quelqu’un en sait plus ?
orionb1
J’avais l’impression qu’on en évoquait qu’une seule dans l’article, mais s’il y en a plusieurs toutes m’intéressent
clockover
Et ils en ont d’autres ne vous inquiétez pas.<br /> On ne change pas une entreprise à la mauvaise politique en un an
philippesnbrd
Teams est aussi concerné : Microsoft Teams And Zoom Hacked In $1 Million Competition
c_planet
@Clubic<br /> Ça fait plusieurs fois que je vous vois donner cette définition de vulnérabilité zero-day dans vos articles. Elle est fausse. Une faille zero-day c’est une faille non répertoriée, non publiée.<br /> même wiki retient cette définition : Une vulnérabilité cesse d’être « zero day » dès qu’elle a été identifiée par la communauté de la sécurité informatique.
AlexLex14
La définition que nous donnons est bonne. Désolé de te contredire.<br /> Une faille zero-day, c’est bien une vulnérabilité non-corrigée mais par laquelle AUCUN correctif n’a encore été déployé. Tant que la faille de Zoom n’aura pas été corrigée, elle restera une faille zero-day.<br /> Cette définition, elle m’a été donnée par des experts de la cybersécurité, à de multiples reprises.<br /> Va un peu plus loin que ta simple interprétation de Wikipédia <br /> Et surtout n’oublie pas que l’immense majorité des failles dont tu prends connaissance dans la presse ont été corrigées AVANT même que des articles soient publiés. Sauf dans le cas d’une faille zero-day, et c’est le reproche que l’on peut faire ici aux deux chercheurs néerlandais… qui ont pris par surprise Zoom.
jacq4y
J’aimerais bien savoir, ce que ça veut dire «&nbsp;PC ou Mac&nbsp;» ? C’est PC-WINDOWS et Mac-MacOS ?<br /> Les clients Linux de Zoom et Teams sont-ils concernés ?<br /> (Oui, un PC n’est pas forcément sous Windows 10 !!!)
carinae
Pourquoi tu connais beaucoup de logiciels qui n’ont aucune faille ?<br /> La différence entre Zoom et teams c’est que teams est utilisé principalement dans les entreprises et notamment les grandes donc dans un environnement normalement déjà sécurisé. Zoom par contre c’est plutôt pour du particulier et la …il est clair que la sécurité n’est pas la priorité…
clockover
Non mais l’entreprise Zoom est réputée pour son "je m’en foutism"e tout simplement.<br /> ils ont réagit lorsque les scandales pêtaient sur eux il y a un an.<br /> Depuis soit rien n’a changé, ils ont juste réagit en mode patch, soit leur mentalité a réellement changée (je doute) et le produit doit encore être truffé de trou.
c_planet
On ne sera pas d’accord. ni avec tes experts.<br /> En patching, hacking, warez, etc. on a toujours utilisé la numérotation jour-0 pour désigner au plus tard le jour du lancement ou de la divulgation. 24h plus tard, on n’en est déjà plus là.<br /> Quand dans la news d’hier, tu écris «&nbsp;Apple corrige une faille zero-day frappant iOS et iPadOS&nbsp;» ça sous-entend clairement que le public ne connaissait la faille avant-hier, par contre si la découverte 0day a 15 jours on aura une correction de faille +14days. (D’ailleurs pourquoi préciserait-on dans une news qu’apple corrige une faille sans correctif ? sauf cas exotique, on annonce rarement une correction de faille déjà corrigée - ok, chez Ms c’est toute les 2 semaines, lol)
Voir tous les messages sur le forum

Lectures liées

iOS ou Android, WhatsApp laisse tomber le support des smartphones trop anciens ; on vous dit lesquels
Samsung Galaxy Watch 4 : 50€ de réduction sur toutes les montres connectées avec ce code promo
Honor 50 : le moins cher des haut de gamme se lance à 549 euros... et avec les services Google
Huawei lance sa Watch Fit Mini en Europe, une petite montre AMOLED à prix réduit
Forfait 90Go à moins de 10€, cest la nouvelle offre choc disponible chez Free
Moto Watch 100 : la nouvelle montre connectée de Motorola est confirmée et sera sûrement sous Wear OS
Une encoche sur la Samsung Galaxy Tab S8 Ultra ? C'est ce que semblent indiquer de nouveaux rendus
Amazon veut rentrer dans les hôpitaux et les maisons de retraite, un juteux filon?
La prochaine Apple Watch mesurerait la glycémie ! Les fournisseurs d'Apple s'y affairent
Confiant, Sony lance le Xperia PRO-I : un nouveau smartphone à 1 800 euros
Haut de page