Le client macOS de Zoom peut activer la webcam de votre Mac sans votre accord

Nicolas Furno |

Zoom est l’une des solutions de visioconférence les plus populaires, surtout dans le monde de l’entreprise. Comme Skype ou Hangout, cette app permet de créer des réunions virtuelles que les participants peuvent rejoindre avec leur ordinateur et une webcam. Le chercheur en sécurité Jonathan Leitschuh a découvert plusieurs failles de sécurité dans l’app macOS du service, dont la plus importante permet à un site web d’activer la webcam d’un Mac sans aucune interaction de la part de l’utilisateur.

Photo Kazuho Okui (CC BY 2.0)

Cette faille de sécurité n’est pas corrigée, mais précisons d’emblée qu’elle ne concerne que les utilisateurs de Zoom et plus précisément ceux qui ont installé le client macOS sur leur Mac. Si ce n’est pas votre cas, cette faille de sécurité ne vous touche pas et vous pouvez dormir tranquille. Dans le cas contraire, vous trouverez des explications à la fin de l’article pour bloquer cette vulnérabilité.

Pour faire simple, ce chercheur a découvert que Zoom contournait plusieurs limites de sécurité imposées par macOS ou les navigateurs afin de conserver l’un de ses points forts. Le service met en avant qu’il permet d’initier une réunion en visioconférence d’un seul clic, mais par sécurité, le navigateur ou le système d’exploitation demandait une confirmation avant d’activer la webcam. Pour cela, Zoom macOS installe un serveur web local qui se charge de faire le lien entre votre navigateur et l’app.

Ce serveur permet de contourner certaines restrictions et en particulier une de Safari qui affiche une boîte de dialogue à chaque fois qu’un site web désire ouvrir une app. C’est une mesure de sécurité justement pour éviter le comportement d’une app comme Zoom, mais ce dernier a répondu que c’était le comportement désiré et que les utilisateurs pouvaient désactiver l’activation automatique de la webcam dans les préférences de l’app.

C’est vrai, vous pouvez cocher l’option « Turn off my video when joining a meeting » dans les préférences du client macOS de Zoom et vous devrez activer la webcam dans un deuxième temps après avoir rejoint une réunion. Sauf que ce réglage n’est pas actif par défaut, ce qui implique que des millions d’utilisateurs peuvent encore voir leur webcam activée sans leur autorisation, simplement en affichant une page web. Le chercheur montre même qu’une simple publicité affichée sur des milliers de sites web différents pourrait suffire.

Cochez cette option dans les réglages de Zoom pour empêcher l’activation automatique de la webcam sur votre Mac.

Ce serveur local ne se contente pas de faire sauter les verrous de protection mis en place par les navigateurs. En fouillant un petit peu plus, Jonathan Leitschuh a mis en avant un mécanisme de réinstallation automatique de l’app macOS. Supprimer Zoom de son Mac laisse le serveur local en place, actif à l’arrière-plan. Si vous cliquez par la suite sur un lien pour rejoindre une réunion, le serveur local détermine si l’app est bien installée. Le cas échéant, il lance lui-même le téléchargement et la réinstallation de l’app, sans votre consentement.

Pour désinstaller complètement Zoom, il ne suffit pas de jeter l’app à la corbeille, il faut aussi utiliser quelques lignes de commande dans un terminal. Voici la procédure à suivre :

  • Récupérer l’identifiant du serveur. Saisissez la commande lsof -i :19421 pour connaître l’identifiant du serveur local. S’il n’est pas actif, vous ne verrez aucun résultat. Sinon, vous verrez une ligne avec plusieurs informations. Copiez le nombre inscrit sous la mention « PID ».
  • Arrêter le serveur local : saisissez la commande kill -9 dans le terminal, puis un espace et collez l’identifiant récupéré à l’étape précédente.
  • Supprimer le dossier du serveur local : utilisez la commande rm -rf ~/.zoomus pour supprimer le dossier où le serveur local est installé.
  • Empêcher la réinstallation du serveur par Zoom : pour bloquer totalement l’app et l’empêcher de recréer un serveur local, saisissez la commande touch ~/.zoomus qui va créer un fichier vide.

La seule concession que Zoom a accepté de faire suite aux révélations du chercheur en sécurité est de permettre aux administrateurs de modifier le paramètre par défaut. Une prochaine mise à jour permettra ainsi de bloquer le lancement automatique de la webcam pour une entreprise, même si cela devrait rester possible par défaut.

avatar Caliguvara | 

À rappeler également que c'est justement un des forts du Mac portable, que la webcam et la LED vert à côté sont branchées sur la même source d'énergie (alimentées par le même câble). Il est donc impossible que la cam tourne sans que le petit voyant s'allume, sauf si quelqu'un à eu accès à l'ordinateur et a pu le démonter jusqu'aux pièces de l'écran.. 😉

avatar roccoyop | 

@Caliguvara

C’est le cas juste sur les Mac portable ou l’iMac à cette même caractéristique ?

Merci pour la précision en tout cas.

avatar Caliguvara | 

@roccoyop

Je sais pas pour les desktop. Mais je serais étonné si c'était pas le cas.

Après ça n'enlève pas la faille, ça permet juste d'éviter de se faire espionner à son insu, on sait quand la cam est activée de façon non voulue.

avatar jb18v | 

il me semblait avoir lu il y a quelques années un cas de programme/exploit qui pouvait le faire justement.

avatar Caliguvara | 

@jb18v

Ça serait intéressant de voir l'article si tu peux le retrouver, parce que physiquement ça me parait impossible. La LED est branchée sur l'alimentation de la cam, si la cam reçoit de l'électricité la led s'allume forcément.

avatar jb18v | 

En effet, apparemment ça n'empêche pas de s'allumer mais seulement une petite seconde, ce qui passe relativement inaperçu.
J'ai trouvé ça https://jscholarship.library.jhu.edu/handle/1774.2/36569 (probablement des points corrigés depuis) mais je suis presque sûr d'avoir lu ça sur un site francophone.

avatar mouahaha | 

"mais je suis presque sûr d'avoir lu ça sur un site francophone."

Probablement quand ya eu les leaks de Snowden et Vault 7 pour la CIA. :)

avatar dorninem | 

@jb18v

Oui via reprogrammation du microcode de la caméra mais truc très high tech et limité à certains modèles de MB

avatar xDave | 

D'ailleurs le titre de la news+visuel sont très trompeurs.
Mon premier réflexe a été de croire à un contournement de la LED, ce qui ne me semble plus possible depuis une dizaine d'années même si le mythe reste tenace.

avatar Caliguvara | 

@xDave

Ça me rend toujours triste des utilisateurs d'un Mac qui cachent leur caméra par ignorance 😂

avatar hogs | 

@Caliguvara
Pourrais-tu m'expliquer comment un utilisateur "lambda" peut savoir si la LED est physiquement en ligne directe avec l'alimentation de la webcam et pas activable par un bit ? Perso je n'en ai pas trouvé trace sur le web, un lien serait bienvenu.

La moquerie serait facile si l'information était publique et disponible sur le site d'Apple.

avatar vince29 | 

Sauf que -tu l'as dit toi-même- le piratage reste possible.
La led permet juste de s'en rendre compte.

Donc non ces gens ne sont pas forcément des ignorants.

avatar hogs | 

La LED ne permet de s'en rendre compte que s'il n'y a aucun moyen de la désactiver, ce qui n'est pas démontré dans la discussion. Donc la LED permet de se rendre compte que de certains accès anormaux, pas de tous. Elle n'est donc pas un indicateur fiable à 100% ... jusqu'à preuve du contraire (en dehors des vagues souvenirs des uns et des autres, des sites n'ayant pas autorité en la matière, etc.)

Et qu'en est-il du micro capable d'acquérir des infos tout aussi délicates que la webcam car aucune LED ne signale son activation ?

avatar Scooby-Doo | 

@hogs,

" Et qu'en est-il du micro capable d'acquérir des infos tout aussi délicates que la webcam car aucune LED ne signale son activation ? "

C'est ce que je dénonce depuis longtemps !

Les gens se focalise sur l'activité de la webcam qui est généralement orientée vers le visage de l'utilisateur et ce qu'il y a derrière lui ! Bref pas grand chose de vraiment passionnant pour les services de renseignements et les groupes mafieux !

Par contre le microphone peut capter des conversations personnelles ou professionnelles qui peuvent être fort utile !

Ce n'est pas pour rien que la surveillance était basée principalement sur l'écoute téléphonique et le placement de micros chez la cible…

Et là, il n'y a pas de LED d'activité allumée pour attirer votre attention.

avatar mouahaha | 

"ce qui ne me semble plus possible depuis une dizaine d'années même si le mythe reste tenace."

Ca doit être pour cette raison que zuckerberg l'obstrue avec de l'adhésif ?

avatar xDave | 

@mouahaha

Ce truc de Zuk remonte à une dizaine d’années si je ne m’abuse.
Sans parler que lui doit être visé par un paquet d’agences de 3 lettres/concurrent.

avatar Scooby-Doo | 

@xDave,

" Sans parler que lui doit être visé par un paquet d’agences de 3 lettres/concurrent. "

Zut, et moi qui croyais qu'il bossait directement pour un paquet d’agences de 3 lettres ! :-)

Pourquoi des intermédiaires, faire cela en catimini ? Vraiment ?

avatar xDave | 

@Scooby-Doo

C’est comme au Scrabble, il faut plusieurs agences de 3 lettres pour faire une partie

avatar Scooby-Doo | 

@xDave,

Super ! Une partie de Scrabble avec que des noms d'agences en 3 lettres !

C'est exactement le jeu préféré et à la portée de Scooby et Sammy.

En fait, foi de Scooby, la dernière fois que l'on a joué à ce jeu super, ma foi tout le monde s'est enfui !

J'ai voulu joué le mot " GRU " avec mon plus beau sourire de grand danois que j'ai prononcé " Greuhhhh " !

Tout le monde a cru que je montrais les crocs !

Comme quoi, même une agence de la direction générale des renseignements de l’État-Major des Forces Armées de la Fédération de Russie peut ruiner une super partie de Scrabble !

C'est vous dire l'efficacité sournoise de ces agences...

avatar hogs | 

@xDave
Tu t'abuses, ça date de juin 2016 ... ce n'est pas si vieux.

source: https://www.theguardian.com/technology/2016/jun/22/mark-zuckerberg-tape-...

avatar xDave | 

@hogs

Hmmm
C’est moi qui abuse?
Un type tweete à propos d’une photo où Zuk est assis devant UN ordinateur sur UN bureau dans UN OpenSpace.
Et c’est donc devenu SON ORDI, SON BUREAU??

et ben... si tweeter détient la vérité ...

Edit >
Alors je précise.
Le chercheur en sécurité qui avait trouvé cette faille, l'avait fait sur des Macs d'avant 2008, soit … plus de 11 ans.
Depuis, il n'y a pas eu de preuve d'un tel "exploit" sur un Mac (voire autre PC, je ne sais pas).
Le câblage ayant changé depuis.

Donc, cette news, tourne en boucle et revient de manière récurrente.

PS : Vu comment fonctionne Gogole, c'est le dernier qui a parlé qui est le plus visible. Du coup une recherche sur le sujet va être noyé sous une tonne de news "Zoom" depuis hier. En 2016, c'est ce tweet d'un tweet qui va prendre le devant etc…

avatar hogs | 

@xDave
"C’est moi qui abuse?"
C'était un trait d'humour (peut être mal venu, avec mes excuses) sur ta formule rhétorique ;)

Ton PS est tout à fait juste, il faut garder effectivement en tête ce mécanisme du web.

Pour la faille il y a une date charnière vers 2008 effectivement, mais l'absence de preuve n'est pas la preuve de l'absence si on veut être rigoriste.

avatar UraniumB | 

@Caliguvara

Oui ça c’est bien ça ! (Et heureusement que ça existe d’ailleurs !)

avatar Scooby-Doo | 

@tous,

Zoom + Serveur local = Poubelle !

Réglage, pas réglage, pas de problème, je boycotte juste la politique de la boîte qui prend l'utilisateur final pour des moins que rien !

My 2 croquettes

avatar raoolito | 

@Scooby-Doo

Sauf que tu n'as pas le choix. Chez les clients, c'est zoom, point :(

Bon on désactive par defaut la cal, dommage que la t2 ne fasse rien contre ca

Pages

CONNEXION UTILISATEUR