Zoom a patché une nouvelle faille de sécurité

L’entreprise de vidéoconférence Zoom a déployé des patchs de sécurité après que des chercheurs aient déclaré que la plateforme utilisait une méthode d’authentification faible qui permettait aux hackers de rejoindre des réunions sans autorisation.

Le problème est causé par le fait que les réunions de conférence Zoom ne nécessitent pas un “mot de passe de réunion” par défaut. C’est un mot de passe assigné aux participants de Zoom pour entrer dans la “salle de réunion”. Si les créateurs de la réunion n’active pas le “mot de passe de réunion”, la seule chose qui sécurise les réunions est l’identifiant de réunion qui est composé de 9, 10 ou 11 chiffres.

Les chercheurs ont présenté cette recherche au CPX 360, une conférence de sécurité organisée par Check Point Security. Le rapport a révélé qu’il est possible de prédire correctement les identifiants des réunions car Zoom identifie ces derniers comme étant “valide” ou “invalide” quand ils sont ajoutés à l’URL de la réunion. Cela ouvre la porte aux hackers qui sont capables de deviner l’identifiant de la réunion et d’accéder à une conférence.

“Utilisé une technique de force brute pour déterminer l’identifiant de la réunion est compliqué, il n’y a aucune réponse de Zoom mais une erreur se produit quand une balise vérifie si les identifiants de réunion sont valides ou pas quand ils sont insérés dans l’URL de la réunion,” a déclaré Yaniv Balmas, chef de la recherche chez Check Point Software. “Un hacker ayant des compétences moyennes peut maîtriser cette attaque.”

Prédire les identifiants de réunion de Zoom

Les chercheurs ont été capable de pré-générer une liste de 1000 identifiants au hasard. Ils ont ensuite pris ces identifiants et les ont ajouté à l’URL utilisé pour rejoindre les réunions sur Zoom (https://zoom.us/j/{IDENTIFIANT_REUNION}).

Si l’identifiant est incorrecte, la sortie affichera “Invalid Meeting ID” mais si l’identifiant est valide, la sortie affichera “Valid Meeting ID found” et donnera la liste des réunions pour lesquelles il a été validé.

zoom

L’élément “div” de l’affichage de sortie indique si l’identifiant de réunion et valide ou pas. “Nous avons découvert une méthode facile et rapide de vérifier en utilisant l’élément ‘div’ présent dans le code HTML de la réponse reçue après avoir essayé tester une URL,” ont expliqué les chercheurs.

De cette manière, les chercheurs ont été capable de prédire 4% des identifiants de réunion générés au hasard.

Il y’a quand même quelques points négatifs concernant cette attaque. Il est possible de découvrir un identifiant de réunion valide, mais on ne peut absolument pas savoir à qui cet identifiant de réunion appartient ou quand le réunion se tiendra. Impossible donc de lancer des attaques ciblées.

Il faut aussi noté que quand un individu mal intentionné rejoint une réunion, les autres participants peuvent le voir. Cependant, si il est chanceux et que les autres participants ne remarquent pas l’ajout d’un nouveau participant à la liste, il pourra espionner les réunions privées et voir des documents d’entreprises ou même assister à des présentations.

Mitigations de la faille de Zoom

Les chercheurs ont déclaré avoir contacté Zoom le 22 Juillet 2019 à propos de ce problème. “Les représentants de Zoom ont collaboré et ont répondu très rapidement à nos emails,” ont déclaré les chercheurs.

Zoom a ajouté des mots de passe par défaut à toutes les réunions. Ils ont aussi ajouté une fonctionnalité permettant aux utilisateurs d’ajouter un mot de passe à des réunions qui étaient déjà programmées et appliquer les paramètres de mot de passe au niveau du compte par un administrateur de compte.

Zoom n’indiquera plus si un identifiant de réunion est valide ou pas quand une page se charge, au lieu de cela la page se chargera simplement et tentera de rejoindre la réunion. Des tentatives répétées pour essayer de trouver un identifiant de réunion valide provoquera le blocage d’un appareil pour un certain temps.

“La confidentialité et la sécurité des utilisateurs de Zoom est notre priorité,” a déclaré le porte-parole de Zoom. “Le problème a été adressé en Août 2019 et nous avons continué d’ajouter des fonctionnalités pour sécuriser notre plateforme. Nous remercions l’équipe de Check Point pour avoir partagé leur recherche.”

Les vidéoconférences et les failles

Ce n’est pas la première fois que des vulnérabilités sont trouvés dans un système de vidéoconférence.

L’année dernière, une faille zero-day avait été découverte dans le client Zoom sur Mac et permettait à un site malveillant de prendre le contrôle de la webcam d’un utilisateur à son insu.

Plus récemment, Cisco a patché une vulnérabilité dans sa plateforme de vidéoconférence Webex. Cette faille permettait de rejoindre sans authentification une réunion qui était sensée être protégé par un mot de passe.

Poster un Commentaire

avatar
  S’abonner  
Notifier de