zoom

Zoom: Une faille a été trouvé dans le logiciel de vidéo conférence

Si vous utilisez le logiciel de vidéo conférence Zoom sur votre ordinateur Mac— faites attention car n’importe quel site que vous visitez dans votre navigateur web pourrait activer la caméra de votre PC sans votre permission.

Zoom est une plateforme de réunion très populaire qui fournit de la vidéo, de l’audio et des fonctionnalités de partages d’écran à ces utilisateurs. Cela leur permet d’organiser des webinaires, des cours en ligne, ou de rejoindre des réunions virtuelles en ligne.

Dans un article de Medium, le chercheur en sécurité Jonathan Leitschuh a divulgué les détails d’une vulnérabilité critique (CVE-2019-13450) dans l’application client Zoom sur les ordinateurs Mac d’Apple. Si cette vulnérabilité est combiné avec une autre faille, les pirates pourraient exécuter du code arbitraire à distance sur les systèmes ciblés.

Jonathan a signalé la faille mais l’équipe de Zoom n’a pas présenté de patch avant la fin de la période de 90 jours.

La vulnérabilité se trouve dans la fonctionnalité cliquer-pour-rejoindre du logiciel, cet option a été conçu pour activer automatiquement l’application Zoom installé sur le système, permettant aux participants de rejoindre rapidement une vidéo-conférence via leur navigateur dès qu’ils cliquent sur un lien d’invitation, par exemple, https://zoom.us/j/492468757.

Jonathan a découvert que pour rendre cette fonctionnalité possible, le logiciel Zoom lance un serveur web local sur le système—sur le port 19421—qui reçoit de manière”non-sécurisée” des commandes via des requêtes HTTPS GET et n’importe quel site ouvert sur votre navigateur peut interagir avec cette fonctionnalité.

Flaw in Zoom Video Conferencing Software

Pour exploiter cette vulnérabilité il suffit que le pirate crée un lien d’invitation en utilisant son compte sur le site de Zoom et l’intègre sur un site tiers dans une balise d’image ou dans une balise iFrame. Il faut ensuite que la victime visite le site tiers.

“En activant ‘Participants: On’ en préparant un meeting, j’ai découvert que tout les gens qui rejoignait mon meeting avait un flux vidéo qui se connectait automatiquement,” a dit Jonathan.

Dès que les utilisateurs de Mac avec un client Zoom installé sur leur système visite le site malveillant, l’application Zoom est s’exécute automatiquement et active leur webcam.

Désinstaller le logiciel n’est pas suffisant pour se débarrasser du problème car la fonctionnalité cliquer-pour-rejoindre accepte aussi une commande qui réinstalle automatiquement Zoom sans l’intervention ou la permission des utilisateurs.

La vulnérabilité peut aussi être utilisé pour lancer une attaque de déni de service sur l’ordinateur Mac en envoyant simplement un nombre important de requêtes GET vers le serveur local.

“Zoom a finalement patché la vulnérabilité, mais ils se sont contenté d’empêcher l’activation de la caméra de l’utilisateur,” a déclaré Jonathan.

La faille affecte la version 4.4.4 de l’application sur Mac.

Flaw in Zoom Video Conferencing Software

En plus de Zoom, Jonathan a aussi signalé la vulnérabilité aux équipes Chromium et Mozilla, mais comme le problème ne se trouve pas dans leurs navigateurs, ils ne peuvent pas faire grand chose.

La bonne nouvelle est que les usagers peuvent réparer le problème de leur côté. Il faut juste désactiver manuellement le paramètre qui permet au logiciel d’activer votre webcam automatiquement quand vous rejoignez un meeting.

Jonathan a publié un article avec des commandes de terminal pour complètement désinstaller le serveur web local créé par Zoom.

Zoom a répondu aux trouvailles du chercheur

Dans un communiqué publié le 8 Juillet, la compagnie a pris connaissance du problème mais a aussi ajouté que “parce que l’interface utilisateur du client s’exécute en premier plan lors du lancement, il est évident pour l’utilisateur qu’il a rejoint un meeting et ils peuvent changer les paramètres vidéos ou partir immédiatement.”

La compagnie a aussi adressé d’autres inquiétudes sur leur logiciel et affirme que la vulnérabilité de déni de service a été réparé en Mai 2019, mais la compagnie n’a pas forcé ses utilisateurs à faire une mise à jour car ils estiment que c’est une vulnérabilité à faible risque.

Ils ont ajouté qu’ils installent un serveur web avec des fonctionnalités limitées quand les usagers installent le client Zoom pour offrir l’option un-clique-pour-rejoindre qui évite aux utilisateurs des cliques en plus avant de rejoindre un meeting. Ils n’ont pas commenté sur la raison pour laquelle le serveur reste installé sur la machine quand un utilisateur décide de désinstaller le logiciel client.

Si cet article vous a plu, jetez un œil à notre précédent article.

Poster un Commentaire

avatar
  S’abonner  
Notifier de