Ouvrir le menu principal

MacGeneration

Recherche

Le client macOS de Zoom peut activer la webcam de votre Mac sans votre accord

Nicolas Furno

mardi 09 juillet 2019 à 10:03 • 63

Logiciels

Zoom est l’une des solutions de visioconférence les plus populaires, surtout dans le monde de l’entreprise. Comme Skype ou Hangout, cette app permet de créer des réunions virtuelles que les participants peuvent rejoindre avec leur ordinateur et une webcam. Le chercheur en sécurité Jonathan Leitschuh a découvert plusieurs failles de sécurité dans l’app macOS du service, dont la plus importante permet à un site web d’activer la webcam d’un Mac sans aucune interaction de la part de l’utilisateur.

Photo Kazuho Okui (CC BY 2.0)

Cette faille de sécurité n’est pas corrigée, mais précisons d’emblée qu’elle ne concerne que les utilisateurs de Zoom et plus précisément ceux qui ont installé le client macOS sur leur Mac. Si ce n’est pas votre cas, cette faille de sécurité ne vous touche pas et vous pouvez dormir tranquille. Dans le cas contraire, vous trouverez des explications à la fin de l’article pour bloquer cette vulnérabilité.

Pour faire simple, ce chercheur a découvert que Zoom contournait plusieurs limites de sécurité imposées par macOS ou les navigateurs afin de conserver l’un de ses points forts. Le service met en avant qu’il permet d’initier une réunion en visioconférence d’un seul clic, mais par sécurité, le navigateur ou le système d’exploitation demandait une confirmation avant d’activer la webcam. Pour cela, Zoom macOS installe un serveur web local qui se charge de faire le lien entre votre navigateur et l’app.

Ce serveur permet de contourner certaines restrictions et en particulier une de Safari qui affiche une boîte de dialogue à chaque fois qu’un site web désire ouvrir une app. C’est une mesure de sécurité justement pour éviter le comportement d’une app comme Zoom, mais ce dernier a répondu que c’était le comportement désiré et que les utilisateurs pouvaient désactiver l’activation automatique de la webcam dans les préférences de l’app.

C’est vrai, vous pouvez cocher l’option « Turn off my video when joining a meeting » dans les préférences du client macOS de Zoom et vous devrez activer la webcam dans un deuxième temps après avoir rejoint une réunion. Sauf que ce réglage n’est pas actif par défaut, ce qui implique que des millions d’utilisateurs peuvent encore voir leur webcam activée sans leur autorisation, simplement en affichant une page web. Le chercheur montre même qu’une simple publicité affichée sur des milliers de sites web différents pourrait suffire.

Cochez cette option dans les réglages de Zoom pour empêcher l’activation automatique de la webcam sur votre Mac.

Ce serveur local ne se contente pas de faire sauter les verrous de protection mis en place par les navigateurs. En fouillant un petit peu plus, Jonathan Leitschuh a mis en avant un mécanisme de réinstallation automatique de l’app macOS. Supprimer Zoom de son Mac laisse le serveur local en place, actif à l’arrière-plan. Si vous cliquez par la suite sur un lien pour rejoindre une réunion, le serveur local détermine si l’app est bien installée. Le cas échéant, il lance lui-même le téléchargement et la réinstallation de l’app, sans votre consentement.

Pour désinstaller complètement Zoom, il ne suffit pas de jeter l’app à la corbeille, il faut aussi utiliser quelques lignes de commande dans un terminal. Voici la procédure à suivre :

  • Récupérer l’identifiant du serveur. Saisissez la commande lsof -i :19421 pour connaître l’identifiant du serveur local. S’il n’est pas actif, vous ne verrez aucun résultat. Sinon, vous verrez une ligne avec plusieurs informations. Copiez le nombre inscrit sous la mention « PID ».
  • Arrêter le serveur local : saisissez la commande kill -9 dans le terminal, puis un espace et collez l’identifiant récupéré à l’étape précédente.
  • Supprimer le dossier du serveur local : utilisez la commande rm -rf ~/.zoomus pour supprimer le dossier où le serveur local est installé.
  • Empêcher la réinstallation du serveur par Zoom : pour bloquer totalement l’app et l’empêcher de recréer un serveur local, saisissez la commande touch ~/.zoomus qui va créer un fichier vide.

La seule concession que Zoom a accepté de faire suite aux révélations du chercheur en sécurité est de permettre aux administrateurs de modifier le paramètre par défaut. Une prochaine mise à jour permettra ainsi de bloquer le lancement automatique de la webcam pour une entreprise, même si cela devrait rester possible par défaut.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Un SMS, un clic… et des données envolées : pourquoi Incogni devient indispensable  📣

10:00

• 0


Aperçu des nouveautés de Raccourcis dans iOS 26 et macOS 26 : Apple intègre (presque) un chatbot

08:00

• 18


Test du Twelve South AirFly Pro 2 : pour s’enfiler en l’air

05/07/2025 à 11:00

• 9


Sortie de veille : un MacBook avec une puce d’iPhone, attrape-nigaud ou coup de génie ?

05/07/2025 à 08:00

• 27


Un dirigeant de Microsoft conseille aux plus de 9 000 employés licenciés de se faire aider par l’IA

04/07/2025 à 22:00

• 196


Apple fait ses emplettes dans les start-up, entre avatars virtuels et monitoring de l’IA

04/07/2025 à 21:00

• 1


Un premier pas vers le jailbreak de la Touch Bar : le système démarre en mode verbose

04/07/2025 à 17:45

• 28


MacBook Air M2 à 750 € ou Mac Studio M2 Max à 1 300 € ? Entre portable et fixe, il faut choisir

04/07/2025 à 15:22

• 28


Un (faux) traceur GPS sur les cartons des MacBook Air, pour dissuader les livreurs de les voler

04/07/2025 à 13:02

• 84


Un site web pour décoder les pages sauvées en .webarchive par Safari

04/07/2025 à 11:00

• 7


Ulanzi présente une station d'accueil au look de petit Mac Pro

04/07/2025 à 10:15

• 17


Promo : une batterie chameau de 27650 mAh capable de recharger Mac et iPhone à 114 € (-56 €)

04/07/2025 à 09:18

• 13


Développeurs : Technotes ajoute des notes de la communauté sur la documentation d’Apple

04/07/2025 à 08:33

• 5


L’iPhone redécolle en Chine, le Mac cartonne aux États-Unis : Apple souffle un peu avant les trimestriels le 31

04/07/2025 à 07:52

• 43


Apple a creusé l’idée de proposer des services de cloud computing aux développeurs pour concurrencer AWS

03/07/2025 à 21:45

• 51


Apple sort des fonds d’écran aux couleurs de son nouvel Apple Store à Osaka

03/07/2025 à 21:00

• 10