Et voici deux nouvelles failles de sécurité pour Zoom
C'est peut-être le bon moment de ne plus utiliser Zoom. Plus le logiciel de vidéoconférence gagne en popularité, plus l'incurie de ses développeurs en matière de sécurité est patente : faux chiffrement de bout en bout, divulgation d'informations personnelles, mauvaises pratiques d'installation… Arrivé là, mieux vaut se chercher une alternative, qu'il s'agisse de Skype, WhatsApp, voire FaceTime si les proches sont tous équipés de produits Apple (récents).
Pour convaincre les plus récalcitrants, le chercheur en sécurité Patrick Wardle a mis la main sur deux vulnérabilités supplémentaires qui touchent spécifiquement le Mac. Pour chacune d'entre elles, le malandrin doit avoir un accès physique à l'ordinateur, ce qui limite les possibilités de piratage. Il n'en demeure pas moins qu'il s'agit de failles de sécurité et que celles-ci continuent de s'empiler.
La première permet à un forban d'obtenir les mêmes droits d'accès au micro et à la webcam de Zoom. Le logiciel doit en effet demander la permission de l'utilisateur pour accéder à ces composants indispensables à son fonctionnement. Cette demande d'autorisation présente une faille qui permet à un bandit d'injecter du code malicieux, afin de récupérer les droits d'accès. Ce dernier peut alors surveiller en douce l'utilisateur.
La deuxième faille est directement liée au système d'installation du logiciel sur macOS, qui va beaucoup trop vite en besogne. Il se trouve qu'un malapris est en mesure de glisser du code avec les privilèges d'un utilisateur lambda afin d'obtenir un accès root. Il peut ainsi accéder aux couches les plus basses et les plus sensibles de macOS, ce qui n'est pas sans poser de sérieux problèmes de sécurité.
Zoom n'a pas encore fourni de correctifs.
J’ai l’impression que crier par la fenêtre est plus sécurisé que zoom 😂
@shaba
😂
@shaba
hahaha excellent !
Par contre la deuxième faille, ça ne serait pas également une faille côté Apple ?
Mais non les API de macos sont écritent par des développeurs tiers et sans qu'apple est son mot à dire dessus ni ne puisse les virer du code de macos. :)
Comme le dit un autre commentaire, on a l'impression qu'ils ont été payé pour dire des conneries dans l'article et rejeter des problèmes du fait d'apple sur zoom. Comme si zoom était responsable du fait qu'apple laisse à disposition une API aussi pourrie dans le code de macos. :)
@ mouahahaha
Pourrais-tu préciser quelle est cette « API aussi pourrie » et expliquer exactement en quoi elle est « aussi pourrie » ? Merci.
N'hésite pas à donner des détails, il y a des développeurs dans la salle.
Mission d’information aujourd’hui avec Édouard Philippe, et le ministre de la santé.
Sur l’écran : une quarantaine de ministres connectés depuis chez eux ou un bureau éloigné.
Le tout via zoom, retransmis sur LCP.
Bref : tout le monde l’utilise
Quel autre system de Visio universel fonctionne gratuitement et sans inscription, et fonctionne bien (Jitsi en WebRTC c’est bien mais ça a de grosses limites) ?
@moua
Y en a pleins d'autres, mais genre vraiment beaucoup, je peux pas te les citer mais pour avoir fait beaucoup d'entretiens en visio je n'ai utilisé zoom qu'une seule fois.
@fousfous
Le truc c’est de trouver une visio possible avec un grand nombres d’utilisateurs. FaceTime pas possible car uniquement Apple, Whatspp limité à 4 ...
D’autres solutions possibles et facile d’emploi ? (Et gratuites ) ?
Comme tu sembles en avoir utilisé plusieurs qu’elle est celle que tu as utilisé le plus (en conf à plusieurs)
@MKO
Je ne me souviens plus trop des noms parce que j'ai utilisé quasiment un service différent par entreprise, donc y en a vraiment beaucoup (Skype, webex que je me souviens).
@MKO
Re webex ...
@MKO
Skype !
25 ou 50 en version gratuite.
@iftwst
(Je ne sais plus quel est le bon chiffre)
@moua
Webex !
@moua
Il y en a des dizaines et des dizaines... Suffi de s'ouvrir les yeux 🙄
@moua
« sans inscription » ?
Pas vraiment.
Je suis en télé-travail et nous utilisons Zoom quotidiennement.
Zoom exige une inscription pour les organisateurs de réunions, et ce n'est PAS GRATUIT.
Les organisateurs envoient alors des liens aux invités pour qu'ils puissent se connecter à la réunion. Pour eux, pas d'inscription.
Jackpot !
Oh mon dieu... ça doit être vite corriger. Heureusement que l’app store est là sur iOS 🤪🤪🤪🤣🤣🤣😊😊😊
Zoom n’est pas gratuit dans les entreprises.
En plus ça marche super bien, c’est léger et démarre au quart de tout contrairement à teams, pas lourdingue pour se connecter avec son compte AD puis demarrr comme Skype biz et super pour partager un écran et interagir avec celui d’un autre est hyper simple.
@lactel
Tout à fait d'accord. Mais bon, c'est tellement plus tendance de cracher sur ce logiciel...
Ça m'amuse toujours de voir des gens qui ne sont pas prêts à payer pour quelque chose se scandaliser que ça ne soit pas parfait !
@webHAL1
Je l’utilise quotidiennement a grande échelle avec un abonnement payant, ces elements ne sont pas rassurant.
En plus on sait bien maintenant que les virus Chinois ne peuvent pas arriver chez nous et que les masques ne servent à rien, c’est comme les tests Covid-19... On ne va pas en commander on vous a dit que ca ne servait à rien et que les Coréen n’y comprennent rien en matière de prévention avec leurs masques😂
@ys320 :
« Je l’utilise quotidiennement a grande échelle avec un abonnement payant, ces elements ne sont pas rassurant. »
Je me sers également de Zoom (version payante) plusieurs fois par semaine, dans le cadre de mon activité professionnelle. Pour avoir fait des vidéo-conférences avec différents outils (Skype, Skype for Business, Teams, WebWex, GoToMeeting), Zoom est la solution qui, globalement, fonctionne le mieux. Et je ne parle pas uniquement de qualité de la vidéo ou du son, mais de tout le reste (facilité d'utilisation, rapidité, universalité, ergonomie, fonctionnalités offertes).
Concernant le fait que ces éléments ne sont "pas rassurants", je vous rejoins, mais il faut aussi remettre les choses en perspective. Un logiciel affecté par une faille de sécurité est aussi commun qu'un potager avec des mauvaises herbes. Le problème n'est pas la faille, mais sa dangerosité. Ici, on parle d'un accès physique nécessaire à la machine, ce qui réduit considérablement l'impact. Souhaitons que Zoom ne tarde pas trop pour les corriger, mais il n'y a rien de problématique à continuer à utiliser Zoom.
Malheureusement, ce logiciel étant ces jours-ci sous le feu des projecteurs, on assiste à un déferlement de critiques à son encontre. C'est apparemment la rançon du succès. :-/
@webHAL1
Seule la version gratuite de Zoom est verollée ? Dès qu'on a la version payante ils envoient une version proprement chiffrée et dans failles ?
On a le droit de critiquer les logiciels que tu utilise ou pas du tout ? C'est quoi la sanction en cas d'infraction ?
@Ali Ibn Bachir Le Gros
Vous avez raison, mieux vaut n'utiliser que des logiciels qui n'ont aucune faille !
Vous pouvez donc maintenant éteindre tous vos appareils informatiques et ne plus jamais les rallumer. :-P
Zoom est peut-être plus efficace que d'autres comme Slack pourtant à la mode lui aussi en entreprises, mais les failles de sécurité de Zoom n'en existent pas moins, et il est préférable de l'utiliser en connaissance de cause plutôt que de faire l'autruche, "veux pas savoir".
Forban !
Malappris !
@Phoenixxu
Je dirais même plus, le malandrin 😁
D'autres synonymes pour de prochains articles croustillants:
- bandit
- brigand
- canaille
- forban
- malfaiteur
- scélérat
- truand
- vaurien
- chenapan
- coquin
- fripon
- fripouille
- filou
- galopin
- gangster
- gredin
- pendard
- sacripant
- sagouin
@ Khrys
Bachi-bouzouk !
PS: Je viens de découvrir par cette occasion que cette expression n'avait pas été inventée par Hergé pour le capitaine Hadock, mais qu'elle existait bel et bien:
https://fr.wikipedia.org/wiki/Bachi-bouzouk
@Khrys
Gredin ?
@Khrys
Désolé je l’ai loupé
Mes excuses
☺️
Zoom prend cher ces temps-ci... tout comme Griveaux (injustement) un temps...
Théorie du complot : Quel éditeur vous paie pour casser le soft ? 🤪
Griveaux, injustement ?
@Doctomac
C’est le seul exemple comparatif qui m’est venu à l’esprit mais je ne suis en aucun cas ici pour débattre sur quelconque sujet politique (qui en plus n’aurait aucun intérêt).
L’idée à comprendre à travers mon commentaire c’est simplement que si on souhaite détruire quelqu’un ou quelque chose, un coup de média en boucle et ça part à la poubelle...
Cette puissance 😵
M’enfin j’ai quand même été un bon pion, j’ai désinstallé Zoom. Je ne l’utilisais pas de toute façon.
Bien en l’occurence, Zoom est une catastrophe. J’ai dû l’utiliser aujourd'hui et comme via le navigateur ça ne marchait pas, j’ai installé l’app. Première déconvenue, le machin s’installe quand on valide la toute première étape de l’installation (.pkg). C’était tellement anomal, que j’ai recommencé une deuxième fois croyant que l’installation initiale n’avait pas marché.
En fait non, le machin s’était installé correctement mais j’ai eu la sensation d’une « enculade » , même si ce n’est pas forcément le cas.
L’année dernière, on avait eu droit à un webserver caché qui permettait de réinstaller Zoom même si on l’avait effacé, posant d’énormes problèmes de sécurité :
https://medium.com/bugbountywriteup/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5
Ça commence à faire beaucoup...
J’ai, comme toi, dégagé ce truc de mon Mac après son utilisation (c’est dommage, la qualité audio et vidéo était au rendez-vous).
@Doctomac
Même expérience que toi.
Et pour les navigateurs j’ai l’impression que certains fonctionnent et d’autres non. Safari par ex m’ouvre bien la réunion alors que Firefox (d’après mes souvenirs) n’est pas en mesure de la charger et ainsi je dois passer sur l’application .pdk
@ Doctomac
Comprends pas:
« J’ai dû l’utiliser aujourd'hui [...] C’était tellement anomal, que j’ai recommencé une deuxième fois croyant que l’installation initiale n’avait pas marché. »
« L’année dernière, on avait eu droit à un webserver caché qui permettait de réinstaller Zoom »
Vous l'avez utilisé l'année dernière et vous découvrez aujourd'hui comment l'installer ?
Quant à l'installeur pour le moins curieux, on en a parlé ici sur macg il y a qq jours déjà, donc avant de l'installer aujourd'hui, vous auriez pu être au courant.
1) Je ne l’ai pas installé l’année dernière, j’évoquais juste une info qui avait fait grand bruit l’année dernière et dont je m’en souvenais, tant le problème de sécurité était énorme (Apple avait d’ailleurs été obligé d’appliquer une mise à jour de macOS pour supprimer le Webserver).
2) Désolé, mais je ne passe pas mon temps sur MacG et des news peuvent m’échapper. Je n’étais donc pas au courant de ce comportement bizarre dans son installation.
Je ne comrends pas... fonctionnaire, Zoom n'est pas conseillé. On conseille Renater...
Je veux dire pourquoi on nous conseille le circuit officiel et que les ministre utilisent un autre ?
Ah ça ! Faites ce que je dis, pas ce que je fais !
C'est aussi cohérent que les présidents qui ont des iPhone, ou les ministres qui songeaient à interdire Signal alors qu'ils l'utilisent eux-mêmes.
Avoir des amis avec uniquement des iphones pour utiliser FaceTime ! C'est tout ! pas compliqué ! En revanche, 32 en simultanée !
Zoom sur une passoire quotidienne 😆
Tout le monde y passe ^^
J’utilise que Skype for Business (Lync), jusqu’a ce que ca disparaisse en Juillet 2021, et surtout Webex!
Bof encore une fois je trouve que c'est beaucoup de "bruit" pour pas grand chose, a partir du moment où l'on accède physiquement à un poste ou peut faire beaucoup de zoom.
L'installation de Zoom de fait via un script Shell tout con comme beaucoup d'applis repackagées pour faire beau plus qu'autre choses. Concernant l'utilisation abusive de l'API comme indiqué sur le blog vu la faille potentiel quelle traîne c'est plutôt du côté de MacOS qu'il faut regarder, Apple de contente juste de dire que "elle est vieille, mais l'utiliser c'est pas bien" (mais on la laisse là quand même).
Webex
Est-ce qu’il existe des problèmes de sécurité avec Zoom sur Windows ?
Je ne vais pas jouer les rabat-joies mais si nos politiques ne trouvent pas le moyen technique de faire une visio-conf, ils peuvent faire une conf/call, a l’ancienne, tout simplement.
Je sais c’est moins fun tu peux pas voir la tronche des copains, mais bon...
Revenons à la réalité. Ils peuvent aussi en profiter par ailleurs pour réduire un peu le nombre de participants, la réunionnite aiguë ça commence à bien faire ...
Bref... faire des conf-calls pour ne rien dire c’est bien, travailler intelligemment et optimiser les ressources, c’est mieux ! 😐
@CGe0h
👍 !!! C’est comme les voyages d’affaires à gogo...
Infomaniak vient de sortir une solution gratos si vous cherchez des alternatives à zoom
https://infomaniak.com/meet
Y a plein de plateformes qui offrent ça. Avec un petit forfait certes pour celles les plus business et gratuites pour d’autres.
Nous sommes sur GSuite business et nous utilisons Meet
C’est plutôt pas mal
Salut Viber vient de passer à 20 participants.
Pages