Le client macOS de Zoom peut activer la webcam de votre Mac sans votre accord
Zoom est l’une des solutions de visioconférence les plus populaires, surtout dans le monde de l’entreprise. Comme Skype ou Hangout, cette app permet de créer des réunions virtuelles que les participants peuvent rejoindre avec leur ordinateur et une webcam. Le chercheur en sécurité Jonathan Leitschuh a découvert plusieurs failles de sécurité dans l’app macOS du service, dont la plus importante permet à un site web d’activer la webcam d’un Mac sans aucune interaction de la part de l’utilisateur.
Cette faille de sécurité n’est pas corrigée, mais précisons d’emblée qu’elle ne concerne que les utilisateurs de Zoom et plus précisément ceux qui ont installé le client macOS sur leur Mac. Si ce n’est pas votre cas, cette faille de sécurité ne vous touche pas et vous pouvez dormir tranquille. Dans le cas contraire, vous trouverez des explications à la fin de l’article pour bloquer cette vulnérabilité.
Pour faire simple, ce chercheur a découvert que Zoom contournait plusieurs limites de sécurité imposées par macOS ou les navigateurs afin de conserver l’un de ses points forts. Le service met en avant qu’il permet d’initier une réunion en visioconférence d’un seul clic, mais par sécurité, le navigateur ou le système d’exploitation demandait une confirmation avant d’activer la webcam. Pour cela, Zoom macOS installe un serveur web local qui se charge de faire le lien entre votre navigateur et l’app.
Ce serveur permet de contourner certaines restrictions et en particulier une de Safari qui affiche une boîte de dialogue à chaque fois qu’un site web désire ouvrir une app. C’est une mesure de sécurité justement pour éviter le comportement d’une app comme Zoom, mais ce dernier a répondu que c’était le comportement désiré et que les utilisateurs pouvaient désactiver l’activation automatique de la webcam dans les préférences de l’app.
C’est vrai, vous pouvez cocher l’option « Turn off my video when joining a meeting » dans les préférences du client macOS de Zoom et vous devrez activer la webcam dans un deuxième temps après avoir rejoint une réunion. Sauf que ce réglage n’est pas actif par défaut, ce qui implique que des millions d’utilisateurs peuvent encore voir leur webcam activée sans leur autorisation, simplement en affichant une page web. Le chercheur montre même qu’une simple publicité affichée sur des milliers de sites web différents pourrait suffire.
Ce serveur local ne se contente pas de faire sauter les verrous de protection mis en place par les navigateurs. En fouillant un petit peu plus, Jonathan Leitschuh a mis en avant un mécanisme de réinstallation automatique de l’app macOS. Supprimer Zoom de son Mac laisse le serveur local en place, actif à l’arrière-plan. Si vous cliquez par la suite sur un lien pour rejoindre une réunion, le serveur local détermine si l’app est bien installée. Le cas échéant, il lance lui-même le téléchargement et la réinstallation de l’app, sans votre consentement.
Pour désinstaller complètement Zoom, il ne suffit pas de jeter l’app à la corbeille, il faut aussi utiliser quelques lignes de commande dans un terminal. Voici la procédure à suivre :
- Récupérer l’identifiant du serveur. Saisissez la commande
lsof -i :19421pour connaître l’identifiant du serveur local. S’il n’est pas actif, vous ne verrez aucun résultat. Sinon, vous verrez une ligne avec plusieurs informations. Copiez le nombre inscrit sous la mention « PID ». - Arrêter le serveur local : saisissez la commande
kill -9dans le terminal, puis un espace et collez l’identifiant récupéré à l’étape précédente. - Supprimer le dossier du serveur local : utilisez la commande
rm -rf ~/.zoomuspour supprimer le dossier où le serveur local est installé. - Empêcher la réinstallation du serveur par Zoom : pour bloquer totalement l’app et l’empêcher de recréer un serveur local, saisissez la commande
touch ~/.zoomusqui va créer un fichier vide.
La seule concession que Zoom a accepté de faire suite aux révélations du chercheur en sécurité est de permettre aux administrateurs de modifier le paramètre par défaut. Une prochaine mise à jour permettra ainsi de bloquer le lancement automatique de la webcam pour une entreprise, même si cela devrait rester possible par défaut.
@Nesus,
Tim Cook n'a même pas besoin de les appeler !
Tim est semble-t-il un gros gros gros utilisateur de Zoom !
D'ailleurs régulièrement on a ci et là des fuites du prochain Mac book, iPhone, et Tim grogne, peste en disant que ce n'est pas bien du tout !
Alors qu'en fait, c'est peut-être lui qui sans le savoir, entre deux parties de Démineur sur son beau Mac Pro à trous, qui révèle tout cela de façon anodine…
Ah, c'est beau les fakes news !
Mais quelles pratiques de merde !!! Et en plus de contourner la sécurité, le truc qui reste installé après la suppression et retélécharge l’app sans ton accord c’est horrible !
@Lucas,
Dans mes pattes cher utilisateur ayant un cerveau !
Un grand danois ne saurait rester insensible à autant d'intelligence concentrée en un seul humain !
Les grand danois ont du pif, c'est bien connu, et je vois que certains humains ont du flair aussi !
Enfin quelqu'un de responsable !
Je plussoie et j'aboie aussi !
Honnêtement la qualité de cette cam est absolument degueulasse... honteux vu les tarifs pratiqués, on en parle jamais assez d’ailleurs !
Pas une grande perte de la cacher cette énième daube !
@anonx,
Comme expliqué par le Scooby avant, la qualité de la caméra, ils s'en fichent !
Le plus important : c'est la qualité du microphone activé avec la dite caméra...
Cette app a plus un comportement de malware qu’autre chose...
@House M.D.,
Cher humain, vous pratiquez vraiment la télépathie canine !
Je plussoie ! Le comportement de ce logiciel rentre tout à fait dans la catégorie du malware.
Question à 100 Croc-Scooby : est-ce distribué sur l'Apple Store ce truc nocif ?
@Scooby-Doo
Apparemment non, dans un sens ça m’aurait étonné, ça contrevient totalement à l’idée de sandbox et à d’autres obligations pour être sur l’AppStore ;)
@House M.D.,
Merci pour vos explications !
Je suis le seul à ne pas voir le problème ?
Quand je rejoins une vidéo conférance, c'est logique que ma caméra s'active...
C'est pareil dans facetime, skype, etc... sans invites de confirmation particulière...
@raphta,
Bonne question à laquelle je vais vous répondre par une autre question !
Est-ce que Facetime ou Skype se permettent de faire ceci, je cite l'article :
" Le chercheur en sécurité Jonathan Leitschuh a découvert plusieurs failles de sécurité dans l’app macOS du service, dont la plus importante permet à un site web d’activer la webcam d’un Mac sans aucune interaction de la part de l’utilisateur. "
" Sauf que ce réglage n’est pas actif par défaut, ce qui implique que des millions d’utilisateurs peuvent encore voir leur webcam activée sans leur autorisation, simplement en affichant une page web. Le chercheur montre même qu’une simple publicité affichée sur des milliers de sites web différents pourrait suffire. "
Autre question :
Pensez-vous vraiment que Facetime ou Skype peuvent ouvrir une session sans votre intervention juste parce que vous avez visité une page Web spécialement conçue pour interagir avec le serveur local ou une page Web affichant une publicité spécialement conçue pour interagir avec le serveur local ?
J'étais pas au courant ! Pas glop !
PS, en supplément gratuit, c'est la maison qui offre et ne recule devant aucun sacrifice : Skype se réinstalle tout seul dans votre dos quand vous n'en voulez plus ?
Je pense que la question sous-jacente était : "pourquoi certaines applications ont le droit d'accéder directement à la caméra alors que d'autres doivent passer par un contournement ?" = y a-t-il des passe-droits pour certains ?
Ça marche aussi avec la puce T2 ?
Pages