Et voici deux nouvelles failles de sécurité pour Zoom

Mickaël Bazoge |

C'est peut-être le bon moment de ne plus utiliser Zoom. Plus le logiciel de vidéoconférence gagne en popularité, plus l'incurie de ses développeurs en matière de sécurité est patente : faux chiffrement de bout en bout, divulgation d'informations personnelles, mauvaises pratiques d'installation… Arrivé là, mieux vaut se chercher une alternative, qu'il s'agisse de Skype, WhatsApp, voire FaceTime si les proches sont tous équipés de produits Apple (récents).

Pour convaincre les plus récalcitrants, le chercheur en sécurité Patrick Wardle a mis la main sur deux vulnérabilités supplémentaires qui touchent spécifiquement le Mac. Pour chacune d'entre elles, le malandrin doit avoir un accès physique à l'ordinateur, ce qui limite les possibilités de piratage. Il n'en demeure pas moins qu'il s'agit de failles de sécurité et que celles-ci continuent de s'empiler.

La première permet à un forban d'obtenir les mêmes droits d'accès au micro et à la webcam de Zoom. Le logiciel doit en effet demander la permission de l'utilisateur pour accéder à ces composants indispensables à son fonctionnement. Cette demande d'autorisation présente une faille qui permet à un bandit d'injecter du code malicieux, afin de récupérer les droits d'accès. Ce dernier peut alors surveiller en douce l'utilisateur.

La deuxième faille est directement liée au système d'installation du logiciel sur macOS, qui va beaucoup trop vite en besogne. Il se trouve qu'un malapris est en mesure de glisser du code avec les privilèges d'un utilisateur lambda afin d'obtenir un accès root. Il peut ainsi accéder aux couches les plus basses et les plus sensibles de macOS, ce qui n'est pas sans poser de sérieux problèmes de sécurité.

Zoom n'a pas encore fourni de correctifs.

Source
Tags
#Zoom
avatar shaba | 

J’ai l’impression que crier par la fenêtre est plus sécurisé que zoom 😂

avatar ruru75020 | 

@shaba

😂

avatar raoolito | 

@shaba

hahaha excellent !

avatar shaba | 

Par contre la deuxième faille, ça ne serait pas également une faille côté Apple ?

avatar mouahahaha | 

Mais non les API de macos sont écritent par des développeurs tiers et sans qu'apple est son mot à dire dessus ni ne puisse les virer du code de macos. :)

Comme le dit un autre commentaire, on a l'impression qu'ils ont été payé pour dire des conneries dans l'article et rejeter des problèmes du fait d'apple sur zoom. Comme si zoom était responsable du fait qu'apple laisse à disposition une API aussi pourrie dans le code de macos. :)

avatar marc_os | 

@ mouahahaha
Pourrais-tu préciser quelle est cette « API aussi pourrie » et expliquer exactement en quoi elle est « aussi pourrie » ? Merci.
N'hésite pas à donner des détails, il y a des développeurs dans la salle.

avatar moua | 

Mission d’information aujourd’hui avec Édouard Philippe, et le ministre de la santé.

Sur l’écran : une quarantaine de ministres connectés depuis chez eux ou un bureau éloigné.

Le tout via zoom, retransmis sur LCP.

Bref : tout le monde l’utilise

Quel autre system de Visio universel fonctionne gratuitement et sans inscription, et fonctionne bien (Jitsi en WebRTC c’est bien mais ça a de grosses limites) ?

avatar fousfous | 

@moua

Y en a pleins d'autres, mais genre vraiment beaucoup, je peux pas te les citer mais pour avoir fait beaucoup d'entretiens en visio je n'ai utilisé zoom qu'une seule fois.

avatar MKO | 

@fousfous

Le truc c’est de trouver une visio possible avec un grand nombres d’utilisateurs. FaceTime pas possible car uniquement Apple, Whatspp limité à 4 ...
D’autres solutions possibles et facile d’emploi ? (Et gratuites ) ?
Comme tu sembles en avoir utilisé plusieurs qu’elle est celle que tu as utilisé le plus (en conf à plusieurs)

avatar fousfous | 

@MKO

Je ne me souviens plus trop des noms parce que j'ai utilisé quasiment un service différent par entreprise, donc y en a vraiment beaucoup (Skype, webex que je me souviens).

avatar scanmb | 

@MKO

Re webex ...

avatar iftwst | 

@MKO

Skype !

25 ou 50 en version gratuite.

avatar iftwst | 

@iftwst

(Je ne sais plus quel est le bon chiffre)

avatar scanmb | 

@moua

Webex !

avatar Mrleblanc101 | 

@moua

Il y en a des dizaines et des dizaines... Suffi de s'ouvrir les yeux 🙄

avatar marc_os | 

@moua
« sans inscription » ?
Pas vraiment.
Je suis en télé-travail et nous utilisons Zoom quotidiennement.
Zoom exige une inscription pour les organisateurs de réunions, et ce n'est PAS GRATUIT.
Les organisateurs envoient alors des liens aux invités pour qu'ils puissent se connecter à la réunion. Pour eux, pas d'inscription.

avatar Sindanárië | 

Jackpot !

avatar Krysten2001 | 

Oh mon dieu... ça doit être vite corriger. Heureusement que l’app store est là sur iOS 🤪🤪🤪🤣🤣🤣😊😊😊

avatar lactel | 

Zoom n’est pas gratuit dans les entreprises.
En plus ça marche super bien, c’est léger et démarre au quart de tout contrairement à teams, pas lourdingue pour se connecter avec son compte AD puis demarrr comme Skype biz et super pour partager un écran et interagir avec celui d’un autre est hyper simple.

avatar webHAL1 | 

@lactel

Tout à fait d'accord. Mais bon, c'est tellement plus tendance de cracher sur ce logiciel...
Ça m'amuse toujours de voir des gens qui ne sont pas prêts à payer pour quelque chose se scandaliser que ça ne soit pas parfait !

avatar ys320 | 

@webHAL1

Je l’utilise quotidiennement a grande échelle avec un abonnement payant, ces elements ne sont pas rassurant.

En plus on sait bien maintenant que les virus Chinois ne peuvent pas arriver chez nous et que les masques ne servent à rien, c’est comme les tests Covid-19... On ne va pas en commander on vous a dit que ca ne servait à rien et que les Coréen n’y comprennent rien en matière de prévention avec leurs masques😂

avatar webHAL1 | 

@ys320 :
« Je l’utilise quotidiennement a grande échelle avec un abonnement payant, ces elements ne sont pas rassurant. »

Je me sers également de Zoom (version payante) plusieurs fois par semaine, dans le cadre de mon activité professionnelle. Pour avoir fait des vidéo-conférences avec différents outils (Skype, Skype for Business, Teams, WebWex, GoToMeeting), Zoom est la solution qui, globalement, fonctionne le mieux. Et je ne parle pas uniquement de qualité de la vidéo ou du son, mais de tout le reste (facilité d'utilisation, rapidité, universalité, ergonomie, fonctionnalités offertes).
Concernant le fait que ces éléments ne sont "pas rassurants", je vous rejoins, mais il faut aussi remettre les choses en perspective. Un logiciel affecté par une faille de sécurité est aussi commun qu'un potager avec des mauvaises herbes. Le problème n'est pas la faille, mais sa dangerosité. Ici, on parle d'un accès physique nécessaire à la machine, ce qui réduit considérablement l'impact. Souhaitons que Zoom ne tarde pas trop pour les corriger, mais il n'y a rien de problématique à continuer à utiliser Zoom.
Malheureusement, ce logiciel étant ces jours-ci sous le feu des projecteurs, on assiste à un déferlement de critiques à son encontre. C'est apparemment la rançon du succès. :-/

avatar Ali Ibn Bachir Le Gros | 

@webHAL1

Seule la version gratuite de Zoom est verollée ? Dès qu'on a la version payante ils envoient une version proprement chiffrée et dans failles ?
On a le droit de critiquer les logiciels que tu utilise ou pas du tout ? C'est quoi la sanction en cas d'infraction ?

avatar webHAL1 | 

@Ali Ibn Bachir Le Gros

Vous avez raison, mieux vaut n'utiliser que des logiciels qui n'ont aucune faille !
Vous pouvez donc maintenant éteindre tous vos appareils informatiques et ne plus jamais les rallumer. :-P

avatar marc_os | 

Zoom est peut-être plus efficace que d'autres comme Slack pourtant à la mode lui aussi en entreprises, mais les failles de sécurité de Zoom n'en existent pas moins, et il est préférable de l'utiliser en connaissance de cause plutôt que de faire l'autruche, "veux pas savoir".

Pages

CONNEXION UTILISATEUR