Zoom, une faille permettait de cracker les mots de passe de réunion

Un problème de sécurité dans la plate-forme de visioconférence Zoom a été révélé. Cette faille aurait permis aux attaquants de déchiffrer les codes d’accès des réunions privées et de d’espionner des vidéoconférences.

Le problème, qui a déjà été résolu, provient du fait que Zoom n’a pas de vérification contre les tentatives répétées de mot de passe de réunion incorrect. Des mots de passe numériques à six chiffres protègent les réunions, et ont été ajoutés aux réunions par défaut en Avril comme mesure de sécurité supplémentaire pour empêcher les «bombardements Zoom» et les détournements de réunions.

En découvrant ce problème, «j’ai passé du temps à faire de la rétro-ingénierie des points de terminaison pour le client Web fourni par Zoom, et j’ai constaté que j’étais capable d’itérer tous les mots de passe par défaut possibles pour découvrir le mot de passe pour une réunion privée donnée», a déclaré Tom Anthony, vice-président de produit chez SearchPilot, dans un article.

zoom

Le problème provient du fait que Zoom manque d’un «principe assez standard de sécurité de mot de passe» qui consiste à limiter les tentatives de mot de passe, a déclaré Anthony. En termes simples, cela signifie qu’un attaquant pourrait parcourir une liste de mots de passe, puis exploiter le client Web et envoyer en permanence des requêtes HTTP pour tenter de vérifier tous les mots de passe, sans aucune limite de mot de passe incorrecte pour l’arrêter.

«Cela permet à un attaquant de tenter un million de mots de passe en quelques minutes et d’accéder aux réunions privées (protégées par mot de passe) d’autres personnes», a-t-il déclaré.

Après avoir signalé le problème le 1er Avril, la société de technologie a mis le client Web hors ligne et a résolu le problème avant le 9 avril. Anthony a déclaré que Zoom semble avoir mitigé le problème en exigeant qu’un utilisateur se connecte pour rejoindre des réunions dans le client Web, et en mettant à jour les mots de passe de réunion par défaut pour qu’ils soient non numériques et plus longs.

«En prenant connaissance de ce problème le 1er Avril, nous avons immédiatement arrêté le client Web Zoom pour assurer la sécurité de nos utilisateurs pendant que nous implémentions des mesures de sécurité», a déclaré un porte-parole de Zoom. «Depuis, nous avons amélioré la limitation de débit, résolu les problèmes de jetons CSRF et relancé le client Web le 9 avril. Avec ces correctifs, le problème était entièrement résolu et aucune action de l’utilisateur n’était requise. Nous n’avons connaissance d’aucune instance de cet exploit utilisé dans la nature. Nous remercions Tom Anthony d’avoir porté ce problème à notre attention. »

zoom

Zoom sous le feu des projecteurs

Zoom fait l’objet d’un examen minutieux de ses politiques de sécurité depuis que la pandémie de coronavirus a augmenté le travail à distance et donc sa base d’utilisateurs. Anthony a déclaré qu’après avoir signalé le problème, la réponse de Zoom était rapide et ils ont vite résolu le problème de la limitation de débit.

«Je suis conscient que Zoom a fait l’objet de beaucoup de contrôle pour ses pratiques de sécurité compte tenu de leur pic d’utilisation soudain provoqué par la pandémie de COVID-19», a-t-il déclaré. «D’après mes interactions avec l’équipe, ils semblaient se soucier de la sécurité de la plate-forme et de leurs utilisateurs et ils semblaient apprécier le rapport de sécurité.»

Auparavant, diverses vulnérabilités ont été découvertes dans l’application populaire. En Juillet, une faille dans le client Zoom pour Windows a été révélé, elle permettait l’exécution de code à distance. Et, en Avril, deux failles zero-day ont été découvertes dans la version du client macOS de Zoom, ce qui aurait pu donner des privilèges root aux attaquants locaux non privilégiés et leur permettre d’accéder au microphone et à la caméra des victimes. Zoom a rapidement corrigé les problèmes après avoir été alerté.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x