Le client macOS de Zoom peut activer la webcam de votre Mac sans votre accord
Zoom est l’une des solutions de visioconférence les plus populaires, surtout dans le monde de l’entreprise. Comme Skype ou Hangout, cette app permet de créer des réunions virtuelles que les participants peuvent rejoindre avec leur ordinateur et une webcam. Le chercheur en sécurité Jonathan Leitschuh a découvert plusieurs failles de sécurité dans l’app macOS du service, dont la plus importante permet à un site web d’activer la webcam d’un Mac sans aucune interaction de la part de l’utilisateur.
Cette faille de sécurité n’est pas corrigée, mais précisons d’emblée qu’elle ne concerne que les utilisateurs de Zoom et plus précisément ceux qui ont installé le client macOS sur leur Mac. Si ce n’est pas votre cas, cette faille de sécurité ne vous touche pas et vous pouvez dormir tranquille. Dans le cas contraire, vous trouverez des explications à la fin de l’article pour bloquer cette vulnérabilité.
Pour faire simple, ce chercheur a découvert que Zoom contournait plusieurs limites de sécurité imposées par macOS ou les navigateurs afin de conserver l’un de ses points forts. Le service met en avant qu’il permet d’initier une réunion en visioconférence d’un seul clic, mais par sécurité, le navigateur ou le système d’exploitation demandait une confirmation avant d’activer la webcam. Pour cela, Zoom macOS installe un serveur web local qui se charge de faire le lien entre votre navigateur et l’app.
Ce serveur permet de contourner certaines restrictions et en particulier une de Safari qui affiche une boîte de dialogue à chaque fois qu’un site web désire ouvrir une app. C’est une mesure de sécurité justement pour éviter le comportement d’une app comme Zoom, mais ce dernier a répondu que c’était le comportement désiré et que les utilisateurs pouvaient désactiver l’activation automatique de la webcam dans les préférences de l’app.
C’est vrai, vous pouvez cocher l’option « Turn off my video when joining a meeting » dans les préférences du client macOS de Zoom et vous devrez activer la webcam dans un deuxième temps après avoir rejoint une réunion. Sauf que ce réglage n’est pas actif par défaut, ce qui implique que des millions d’utilisateurs peuvent encore voir leur webcam activée sans leur autorisation, simplement en affichant une page web. Le chercheur montre même qu’une simple publicité affichée sur des milliers de sites web différents pourrait suffire.
Ce serveur local ne se contente pas de faire sauter les verrous de protection mis en place par les navigateurs. En fouillant un petit peu plus, Jonathan Leitschuh a mis en avant un mécanisme de réinstallation automatique de l’app macOS. Supprimer Zoom de son Mac laisse le serveur local en place, actif à l’arrière-plan. Si vous cliquez par la suite sur un lien pour rejoindre une réunion, le serveur local détermine si l’app est bien installée. Le cas échéant, il lance lui-même le téléchargement et la réinstallation de l’app, sans votre consentement.
Pour désinstaller complètement Zoom, il ne suffit pas de jeter l’app à la corbeille, il faut aussi utiliser quelques lignes de commande dans un terminal. Voici la procédure à suivre :
- Récupérer l’identifiant du serveur. Saisissez la commande
lsof -i :19421pour connaître l’identifiant du serveur local. S’il n’est pas actif, vous ne verrez aucun résultat. Sinon, vous verrez une ligne avec plusieurs informations. Copiez le nombre inscrit sous la mention « PID ». - Arrêter le serveur local : saisissez la commande
kill -9dans le terminal, puis un espace et collez l’identifiant récupéré à l’étape précédente. - Supprimer le dossier du serveur local : utilisez la commande
rm -rf ~/.zoomuspour supprimer le dossier où le serveur local est installé. - Empêcher la réinstallation du serveur par Zoom : pour bloquer totalement l’app et l’empêcher de recréer un serveur local, saisissez la commande
touch ~/.zoomusqui va créer un fichier vide.
La seule concession que Zoom a accepté de faire suite aux révélations du chercheur en sécurité est de permettre aux administrateurs de modifier le paramètre par défaut. Une prochaine mise à jour permettra ainsi de bloquer le lancement automatique de la webcam pour une entreprise, même si cela devrait rester possible par défaut.
À rappeler également que c'est justement un des forts du Mac portable, que la webcam et la LED vert à côté sont branchées sur la même source d'énergie (alimentées par le même câble). Il est donc impossible que la cam tourne sans que le petit voyant s'allume, sauf si quelqu'un à eu accès à l'ordinateur et a pu le démonter jusqu'aux pièces de l'écran.. 😉
@Caliguvara
C’est le cas juste sur les Mac portable ou l’iMac à cette même caractéristique ?
Merci pour la précision en tout cas.
@roccoyop
Je sais pas pour les desktop. Mais je serais étonné si c'était pas le cas.
Après ça n'enlève pas la faille, ça permet juste d'éviter de se faire espionner à son insu, on sait quand la cam est activée de façon non voulue.
il me semblait avoir lu il y a quelques années un cas de programme/exploit qui pouvait le faire justement.
@jb18v
Ça serait intéressant de voir l'article si tu peux le retrouver, parce que physiquement ça me parait impossible. La LED est branchée sur l'alimentation de la cam, si la cam reçoit de l'électricité la led s'allume forcément.
En effet, apparemment ça n'empêche pas de s'allumer mais seulement une petite seconde, ce qui passe relativement inaperçu.
J'ai trouvé ça https://jscholarship.library.jhu.edu/handle/1774.2/36569 (probablement des points corrigés depuis) mais je suis presque sûr d'avoir lu ça sur un site francophone.
"mais je suis presque sûr d'avoir lu ça sur un site francophone."
Probablement quand ya eu les leaks de Snowden et Vault 7 pour la CIA. :)
@jb18v
Oui via reprogrammation du microcode de la caméra mais truc très high tech et limité à certains modèles de MB
D'ailleurs le titre de la news+visuel sont très trompeurs.
Mon premier réflexe a été de croire à un contournement de la LED, ce qui ne me semble plus possible depuis une dizaine d'années même si le mythe reste tenace.
@xDave
Ça me rend toujours triste des utilisateurs d'un Mac qui cachent leur caméra par ignorance 😂
@Caliguvara
Pourrais-tu m'expliquer comment un utilisateur "lambda" peut savoir si la LED est physiquement en ligne directe avec l'alimentation de la webcam et pas activable par un bit ? Perso je n'en ai pas trouvé trace sur le web, un lien serait bienvenu.
La moquerie serait facile si l'information était publique et disponible sur le site d'Apple.
Sauf que -tu l'as dit toi-même- le piratage reste possible.
La led permet juste de s'en rendre compte.
Donc non ces gens ne sont pas forcément des ignorants.
La LED ne permet de s'en rendre compte que s'il n'y a aucun moyen de la désactiver, ce qui n'est pas démontré dans la discussion. Donc la LED permet de se rendre compte que de certains accès anormaux, pas de tous. Elle n'est donc pas un indicateur fiable à 100% ... jusqu'à preuve du contraire (en dehors des vagues souvenirs des uns et des autres, des sites n'ayant pas autorité en la matière, etc.)
Et qu'en est-il du micro capable d'acquérir des infos tout aussi délicates que la webcam car aucune LED ne signale son activation ?
@hogs,
" Et qu'en est-il du micro capable d'acquérir des infos tout aussi délicates que la webcam car aucune LED ne signale son activation ? "
C'est ce que je dénonce depuis longtemps !
Les gens se focalise sur l'activité de la webcam qui est généralement orientée vers le visage de l'utilisateur et ce qu'il y a derrière lui ! Bref pas grand chose de vraiment passionnant pour les services de renseignements et les groupes mafieux !
Par contre le microphone peut capter des conversations personnelles ou professionnelles qui peuvent être fort utile !
Ce n'est pas pour rien que la surveillance était basée principalement sur l'écoute téléphonique et le placement de micros chez la cible…
Et là, il n'y a pas de LED d'activité allumée pour attirer votre attention.
"ce qui ne me semble plus possible depuis une dizaine d'années même si le mythe reste tenace."
Ca doit être pour cette raison que zuckerberg l'obstrue avec de l'adhésif ?
@mouahaha
Ce truc de Zuk remonte à une dizaine d’années si je ne m’abuse.
Sans parler que lui doit être visé par un paquet d’agences de 3 lettres/concurrent.
@xDave,
" Sans parler que lui doit être visé par un paquet d’agences de 3 lettres/concurrent. "
Zut, et moi qui croyais qu'il bossait directement pour un paquet d’agences de 3 lettres ! :-)
Pourquoi des intermédiaires, faire cela en catimini ? Vraiment ?
@Scooby-Doo
C’est comme au Scrabble, il faut plusieurs agences de 3 lettres pour faire une partie
@xDave,
Super ! Une partie de Scrabble avec que des noms d'agences en 3 lettres !
C'est exactement le jeu préféré et à la portée de Scooby et Sammy.
…
En fait, foi de Scooby, la dernière fois que l'on a joué à ce jeu super, ma foi tout le monde s'est enfui !
J'ai voulu joué le mot " GRU " avec mon plus beau sourire de grand danois que j'ai prononcé " Greuhhhh " !
Tout le monde a cru que je montrais les crocs !
Comme quoi, même une agence de la direction générale des renseignements de l’État-Major des Forces Armées de la Fédération de Russie peut ruiner une super partie de Scrabble !
C'est vous dire l'efficacité sournoise de ces agences...
@xDave
Tu t'abuses, ça date de juin 2016 ... ce n'est pas si vieux.
source: https://www.theguardian.com/technology/2016/jun/22/mark-zuckerberg-tape-webcam-microphone-facebook
@hogs
Hmmm
C’est moi qui abuse?
Un type tweete à propos d’une photo où Zuk est assis devant UN ordinateur sur UN bureau dans UN OpenSpace.
Et c’est donc devenu SON ORDI, SON BUREAU??
et ben... si tweeter détient la vérité ...
Edit >
Alors je précise.
Le chercheur en sécurité qui avait trouvé cette faille, l'avait fait sur des Macs d'avant 2008, soit … plus de 11 ans.
Depuis, il n'y a pas eu de preuve d'un tel "exploit" sur un Mac (voire autre PC, je ne sais pas).
Le câblage ayant changé depuis.
Donc, cette news, tourne en boucle et revient de manière récurrente.
PS : Vu comment fonctionne Gogole, c'est le dernier qui a parlé qui est le plus visible. Du coup une recherche sur le sujet va être noyé sous une tonne de news "Zoom" depuis hier. En 2016, c'est ce tweet d'un tweet qui va prendre le devant etc…
@xDave
"C’est moi qui abuse?"
C'était un trait d'humour (peut être mal venu, avec mes excuses) sur ta formule rhétorique ;)
Ton PS est tout à fait juste, il faut garder effectivement en tête ce mécanisme du web.
Pour la faille il y a une date charnière vers 2008 effectivement, mais l'absence de preuve n'est pas la preuve de l'absence si on veut être rigoriste.
@Caliguvara
Oui ça c’est bien ça ! (Et heureusement que ça existe d’ailleurs !)
@tous,
Zoom + Serveur local = Poubelle !
Réglage, pas réglage, pas de problème, je boycotte juste la politique de la boîte qui prend l'utilisateur final pour des moins que rien !
My 2 croquettes
@Scooby-Doo
Sauf que tu n'as pas le choix. Chez les clients, c'est zoom, point :(
Bon on désactive par defaut la cal, dommage que la t2 ne fasse rien contre ca
@raoolito,
Alors si en plus les utilisateurs finaux sont consentants et en redemande !
Je ne m'appelle pas cela du vol d'informations, mais plutôt du don de vie privée ou professionnelle...
@Scooby-Doo
👍
@xDave,
Merci pour ce pouce levé...
@Caliguvara
Pour avoir creusé le sujet il y a quelques années, des chercheurs étaient parvenus à activer la caméra sans enclencher la LED.
@l3aronsansgland
Cherche à nouveau. C’est vieux de dix ans.
J’ai la flemme mais j’ai fait la recherche il y a 15 jours.
Au vue du mépris pour la sécurité de l’éditeur Apple devrait révoquer leur certificat de signature (si il en on un).
exactement...
J'adore lire ce genre de chose "La seule concession que Zoom a accepté de faire suite aux révélations du chercheur en sécurité est de permettre aux administrateurs de modifier le paramètre par défaut"
On croit rêver
@xDave,
On croit rêver je confirme !
Et sinon, une app ou une web app de visio multiplateforme sans Chrome obligatoire, sécurisée et open source, ça existe ?
@pat3
J’ai pensé à ça
@reborn
En effet cela fonctionne très bien mais pas toujours facile à gérer quand l'installation échoue....mais c globalement un bon produit
@reborn
Goood, merci 😊
-Le petit morceau de gaffer sur la webcam-
Encore et toujours
@misterbrown
J’ai finalement craqué et protégé la webcam de mon MacBook Pro, mais pas question de gâcher son design avec un bout de gaffeur pourri. J’ai opté pour ça: Extsud 6pcs Cache Webcam... https://www.amazon.fr/dp/B07FY7D811?ref=ppx_pop_mob_ap_share
Discret, au point qu’on l’oublie totalement sur un MacBook, un iMac, ou un iPad à façade noire.
@misterbrown
+10000
@misterbrown & pat3,
Super l'obturateur en plastique sur la dite caméra !
Euh, cela coupe aussi le microphone ?
Non parce que les services de renseignements ou les cartels mafieux, voir votre visage en direct ou le papier peint so 70s en arrière plan, ils en ont rien à … !
Ce qui les intéressent : c'est vos échanges, vos discussions dans la pièce !
Certains groupes mafieux ont réussi des opérations de scam très sophistiquées auprès de services comptables de sociétés de tailles diverses !
Les malandrins connaissaient des détails que seuls les dirigeants et autres responsables pouvaient savoir : un contrat en cours, une demande de caution, …
Et ce n'était pas en vous regardant droit dans les yeux pendant que vous vous grattiez le nez !
Donc l'obturateur on va dire que cela solutionne la moitié du problème !
My 2 Croc-Scooby !
@Scooby-Doo
Un jack vide dans la pris le jack pour les plus paranos. Et ceux qui en on un..
Ça existe encore des gens qui n’ont pas fichu un bout de post it là dessus? 😳😂
@anonx,
A priori, j'ai la faiblesse de penser à lire les commentaires sur ce forum : OUI !
Pendant qu'on les écoute sans problème discuter de leurs prochaines vacances entre deux contrats en cours de négociation ou du dépôt d'un brevet, voire d'un appel d'offre à un gros marché à venir…
Super ! Pas grave, ils utilisent aussi Chrome et les services en ligne de Google, donc pourquoi se préoccuper d'un quelconque début de confidentialité des données de leurs entreprises…
gmail = gtoutcompriseteuxaussi :-)
Certains diront que c’est une faille de sécurité de la part d’Apple, mais je pense davantage que c’est un manque de contrôle du FONCTIONNEMENT de cet app. Après, rien de grave ici; d’après l’article ce n’est pas comme si quelqu’un tentait de nous espionner à travers la caméra, mais c’est plutôt comme si l’app appareil photo (sur iPhone par exemple) s’ouvrait et puis c’est tout. De plus, l’option non native corrige ce problème alors on est bon. Vous n’êtes pas non plus obligés d’utiliser Zoom. Pas la peine de crier au scandale donc.
Ps: Vous aussi Apple News ne marche plus ?
@UraniumB,
Vous avez posé cette question hors sujet :
" Vous aussi Apple News ne marche plus ? "
Le Scooby-Doo ne peut pas vous répondre ! Il pensait juste que Apple News n'avait jamais marché (dixit les résultats financiers très en dessous des espérances des éditeurs)...
L'enfer est pavé de bonnes intentions …
@xDave,
Oui enfin l'enfer est vite évité : il suffit juste de ne pas installer ce genre d'applications ! Point.
@Scooby-Doo
Je ne dis pas le contraire.
Mon propos est que les pourris (Zoom) sont près à des choses plus que limites sous couvert de « confort client ».
Après on peut se poser la question de l’objectif réel 😒
zoom a 750000 clients entreprise, l’utilisateur n’a peut-être même pas le choix de ce qu’il installe.
Ce truc sert à faire des webinars. Heureusement on peut se passer de l’application pour ça.
Ils vont rire quand Tim Cook va les appeler pour leurs expliquer que son credo, c’est la sécurité et que personne ne viendra s’interposer entre lui et son objectif. Surtout pas une petite boîte avec un pauvre logiciel comme zoom...
J’imagine qu’il sera beaucoup plus enclin à la concession.
Pages