Et voici deux nouvelles failles de sécurité pour Zoom

Mickaël Bazoge |

C'est peut-être le bon moment de ne plus utiliser Zoom. Plus le logiciel de vidéoconférence gagne en popularité, plus l'incurie de ses développeurs en matière de sécurité est patente : faux chiffrement de bout en bout, divulgation d'informations personnelles, mauvaises pratiques d'installation… Arrivé là, mieux vaut se chercher une alternative, qu'il s'agisse de Skype, WhatsApp, voire FaceTime si les proches sont tous équipés de produits Apple (récents).

Pour convaincre les plus récalcitrants, le chercheur en sécurité Patrick Wardle a mis la main sur deux vulnérabilités supplémentaires qui touchent spécifiquement le Mac. Pour chacune d'entre elles, le malandrin doit avoir un accès physique à l'ordinateur, ce qui limite les possibilités de piratage. Il n'en demeure pas moins qu'il s'agit de failles de sécurité et que celles-ci continuent de s'empiler.

La première permet à un forban d'obtenir les mêmes droits d'accès au micro et à la webcam de Zoom. Le logiciel doit en effet demander la permission de l'utilisateur pour accéder à ces composants indispensables à son fonctionnement. Cette demande d'autorisation présente une faille qui permet à un bandit d'injecter du code malicieux, afin de récupérer les droits d'accès. Ce dernier peut alors surveiller en douce l'utilisateur.

La deuxième faille est directement liée au système d'installation du logiciel sur macOS, qui va beaucoup trop vite en besogne. Il se trouve qu'un malapris est en mesure de glisser du code avec les privilèges d'un utilisateur lambda afin d'obtenir un accès root. Il peut ainsi accéder aux couches les plus basses et les plus sensibles de macOS, ce qui n'est pas sans poser de sérieux problèmes de sécurité.

Zoom n'a pas encore fourni de correctifs.

Source
TechCrunch
Tags
#Zoom
avatar shaba | 

J’ai l’impression que crier par la fenêtre est plus sécurisé que zoom 😂

avatar ruru75020 | 

@shaba

😂

avatar raoolito | 

@shaba

hahaha excellent !

avatar shaba | 

Par contre la deuxième faille, ça ne serait pas également une faille côté Apple ?

avatar mouahahaha | 

Mais non les API de macos sont écritent par des développeurs tiers et sans qu'apple est son mot à dire dessus ni ne puisse les virer du code de macos. :)

Comme le dit un autre commentaire, on a l'impression qu'ils ont été payé pour dire des conneries dans l'article et rejeter des problèmes du fait d'apple sur zoom. Comme si zoom était responsable du fait qu'apple laisse à disposition une API aussi pourrie dans le code de macos. :)

avatar marc_os | 

@ mouahahaha
Pourrais-tu préciser quelle est cette « API aussi pourrie » et expliquer exactement en quoi elle est « aussi pourrie » ? Merci.
N'hésite pas à donner des détails, il y a des développeurs dans la salle.

avatar moua | 

Mission d’information aujourd’hui avec Édouard Philippe, et le ministre de la santé.

Sur l’écran : une quarantaine de ministres connectés depuis chez eux ou un bureau éloigné.

Le tout via zoom, retransmis sur LCP.

Bref : tout le monde l’utilise

Quel autre system de Visio universel fonctionne gratuitement et sans inscription, et fonctionne bien (Jitsi en WebRTC c’est bien mais ça a de grosses limites) ?

avatar fousfous | 

@moua

Y en a pleins d'autres, mais genre vraiment beaucoup, je peux pas te les citer mais pour avoir fait beaucoup d'entretiens en visio je n'ai utilisé zoom qu'une seule fois.

avatar MKO | 

@fousfous

Le truc c’est de trouver une visio possible avec un grand nombres d’utilisateurs. FaceTime pas possible car uniquement Apple, Whatspp limité à 4 ...
D’autres solutions possibles et facile d’emploi ? (Et gratuites ) ?
Comme tu sembles en avoir utilisé plusieurs qu’elle est celle que tu as utilisé le plus (en conf à plusieurs)

avatar fousfous | 

@MKO

Je ne me souviens plus trop des noms parce que j'ai utilisé quasiment un service différent par entreprise, donc y en a vraiment beaucoup (Skype, webex que je me souviens).

avatar scanmb (non vérifié) | 

@MKO

Re webex ...

avatar iftwst | 

@MKO

Skype !

25 ou 50 en version gratuite.

avatar iftwst | 

@iftwst

(Je ne sais plus quel est le bon chiffre)

avatar scanmb (non vérifié) | 

@moua

Webex !

avatar Mrleblanc101 | 

@moua

Il y en a des dizaines et des dizaines... Suffi de s'ouvrir les yeux 🙄

avatar marc_os | 

@moua
« sans inscription » ?
Pas vraiment.
Je suis en télé-travail et nous utilisons Zoom quotidiennement.
Zoom exige une inscription pour les organisateurs de réunions, et ce n'est PAS GRATUIT.
Les organisateurs envoient alors des liens aux invités pour qu'ils puissent se connecter à la réunion. Pour eux, pas d'inscription.

avatar Sindanarie | 

Jackpot !

avatar Krysten2001 | 

Oh mon dieu... ça doit être vite corriger. Heureusement que l’app store est là sur iOS 🤪🤪🤪🤣🤣🤣😊😊😊

avatar lactel | 

Zoom n’est pas gratuit dans les entreprises.
En plus ça marche super bien, c’est léger et démarre au quart de tout contrairement à teams, pas lourdingue pour se connecter avec son compte AD puis demarrr comme Skype biz et super pour partager un écran et interagir avec celui d’un autre est hyper simple.

avatar webHAL1 | 

@lactel

Tout à fait d'accord. Mais bon, c'est tellement plus tendance de cracher sur ce logiciel...
Ça m'amuse toujours de voir des gens qui ne sont pas prêts à payer pour quelque chose se scandaliser que ça ne soit pas parfait !

avatar ys320 | 

@webHAL1

Je l’utilise quotidiennement a grande échelle avec un abonnement payant, ces elements ne sont pas rassurant.

En plus on sait bien maintenant que les virus Chinois ne peuvent pas arriver chez nous et que les masques ne servent à rien, c’est comme les tests Covid-19... On ne va pas en commander on vous a dit que ca ne servait à rien et que les Coréen n’y comprennent rien en matière de prévention avec leurs masques😂

avatar webHAL1 | 

@ys320 :
« Je l’utilise quotidiennement a grande échelle avec un abonnement payant, ces elements ne sont pas rassurant. »

Je me sers également de Zoom (version payante) plusieurs fois par semaine, dans le cadre de mon activité professionnelle. Pour avoir fait des vidéo-conférences avec différents outils (Skype, Skype for Business, Teams, WebWex, GoToMeeting), Zoom est la solution qui, globalement, fonctionne le mieux. Et je ne parle pas uniquement de qualité de la vidéo ou du son, mais de tout le reste (facilité d'utilisation, rapidité, universalité, ergonomie, fonctionnalités offertes).
Concernant le fait que ces éléments ne sont "pas rassurants", je vous rejoins, mais il faut aussi remettre les choses en perspective. Un logiciel affecté par une faille de sécurité est aussi commun qu'un potager avec des mauvaises herbes. Le problème n'est pas la faille, mais sa dangerosité. Ici, on parle d'un accès physique nécessaire à la machine, ce qui réduit considérablement l'impact. Souhaitons que Zoom ne tarde pas trop pour les corriger, mais il n'y a rien de problématique à continuer à utiliser Zoom.
Malheureusement, ce logiciel étant ces jours-ci sous le feu des projecteurs, on assiste à un déferlement de critiques à son encontre. C'est apparemment la rançon du succès. :-/

avatar Ali Ibn Bachir Le Gros | 

@webHAL1

Seule la version gratuite de Zoom est verollée ? Dès qu'on a la version payante ils envoient une version proprement chiffrée et dans failles ?
On a le droit de critiquer les logiciels que tu utilise ou pas du tout ? C'est quoi la sanction en cas d'infraction ?

avatar webHAL1 | 

@Ali Ibn Bachir Le Gros

Vous avez raison, mieux vaut n'utiliser que des logiciels qui n'ont aucune faille !
Vous pouvez donc maintenant éteindre tous vos appareils informatiques et ne plus jamais les rallumer. :-P

avatar marc_os | 

Zoom est peut-être plus efficace que d'autres comme Slack pourtant à la mode lui aussi en entreprises, mais les failles de sécurité de Zoom n'en existent pas moins, et il est préférable de l'utiliser en connaissance de cause plutôt que de faire l'autruche, "veux pas savoir".

avatar Phoenixxu | 

Forban !
Malappris !

avatar Khrys | 

@Phoenixxu

Je dirais même plus, le malandrin 😁

D'autres synonymes pour de prochains articles croustillants:
- bandit
- brigand
- canaille
- forban
- malfaiteur
- scélérat
- truand
- vaurien
- chenapan
- coquin
- fripon
- fripouille
- filou
- galopin
- gangster
- gredin
- pendard
- sacripant
- sagouin

avatar marc_os | 

@ Khrys

Bachi-bouzouk !

PS: Je viens de découvrir par cette occasion que cette expression n'avait pas été inventée par Hergé pour le capitaine Hadock, mais qu'elle existait bel et bien:
https://fr.wikipedia.org/wiki/Bachi-bouzouk

avatar scanmb (non vérifié) | 

@Khrys

Gredin ?

avatar scanmb (non vérifié) | 

@Khrys

Désolé je l’ai loupé
Mes excuses
☺️

avatar bhelden | 

Zoom prend cher ces temps-ci... tout comme Griveaux (injustement) un temps...

Théorie du complot : Quel éditeur vous paie pour casser le soft ? 🤪

avatar Doctomac | 

Griveaux, injustement ?

avatar bhelden | 

@Doctomac

C’est le seul exemple comparatif qui m’est venu à l’esprit mais je ne suis en aucun cas ici pour débattre sur quelconque sujet politique (qui en plus n’aurait aucun intérêt).

L’idée à comprendre à travers mon commentaire c’est simplement que si on souhaite détruire quelqu’un ou quelque chose, un coup de média en boucle et ça part à la poubelle...

Cette puissance 😵

M’enfin j’ai quand même été un bon pion, j’ai désinstallé Zoom. Je ne l’utilisais pas de toute façon.

avatar Doctomac | 

Bien en l’occurence, Zoom est une catastrophe. J’ai dû l’utiliser aujourd'hui et comme via le navigateur ça ne marchait pas, j’ai installé l’app. Première déconvenue, le machin s’installe quand on valide la toute première étape de l’installation (.pkg). C’était tellement anomal, que j’ai recommencé une deuxième fois croyant que l’installation initiale n’avait pas marché.

En fait non, le machin s’était installé correctement mais j’ai eu la sensation d’une « enculade » , même si ce n’est pas forcément le cas.

L’année dernière, on avait eu droit à un webserver caché qui permettait de réinstaller Zoom même si on l’avait effacé, posant d’énormes problèmes de sécurité :

https://medium.com/bugbountywriteup/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5

Ça commence à faire beaucoup...

J’ai, comme toi, dégagé ce truc de mon Mac après son utilisation (c’est dommage, la qualité audio et vidéo était au rendez-vous).

avatar bhelden | 

@Doctomac

Même expérience que toi.

Et pour les navigateurs j’ai l’impression que certains fonctionnent et d’autres non. Safari par ex m’ouvre bien la réunion alors que Firefox (d’après mes souvenirs) n’est pas en mesure de la charger et ainsi je dois passer sur l’application .pdk

avatar marc_os | 

@ Doctomac
Comprends pas:
« J’ai dû l’utiliser aujourd'hui [...] C’était tellement anomal, que j’ai recommencé une deuxième fois croyant que l’installation initiale n’avait pas marché. »
« L’année dernière, on avait eu droit à un webserver caché qui permettait de réinstaller Zoom »

Vous l'avez utilisé l'année dernière et vous découvrez aujourd'hui comment l'installer ?
Quant à l'installeur pour le moins curieux, on en a parlé ici sur macg il y a qq jours déjà, donc avant de l'installer aujourd'hui, vous auriez pu être au courant.

avatar Doctomac | 

1) Je ne l’ai pas installé l’année dernière, j’évoquais juste une info qui avait fait grand bruit l’année dernière et dont je m’en souvenais, tant le problème de sécurité était énorme (Apple avait d’ailleurs été obligé d’appliquer une mise à jour de macOS pour supprimer le Webserver).

2) Désolé, mais je ne passe pas mon temps sur MacG et des news peuvent m’échapper. Je n’étais donc pas au courant de ce comportement bizarre dans son installation.

avatar Thierry-J | 

Je ne comrends pas... fonctionnaire, Zoom n'est pas conseillé. On conseille Renater...

Je veux dire pourquoi on nous conseille le circuit officiel et que les ministre utilisent un autre ?

avatar lll | 

Ah ça ! Faites ce que je dis, pas ce que je fais !
C'est aussi cohérent que les présidents qui ont des iPhone, ou les ministres qui songeaient à interdire Signal alors qu'ils l'utilisent eux-mêmes.

avatar bbibas | 

Avoir des amis avec uniquement des iphones pour utiliser FaceTime ! C'est tout ! pas compliqué ! En revanche, 32 en simultanée !

avatar Paquito06 | 

Zoom sur une passoire quotidienne 😆
Tout le monde y passe ^^
J’utilise que Skype for Business (Lync), jusqu’a ce que ca disparaisse en Juillet 2021, et surtout Webex!

avatar huexley | 

Bof encore une fois je trouve que c'est beaucoup de "bruit" pour pas grand chose, a partir du moment où l'on accède physiquement à un poste ou peut faire beaucoup de zoom.

L'installation de Zoom de fait via un script Shell tout con comme beaucoup d'applis repackagées pour faire beau plus qu'autre choses. Concernant l'utilisation abusive de l'API comme indiqué sur le blog vu la faille potentiel quelle traîne c'est plutôt du côté de MacOS qu'il faut regarder, Apple de contente juste de dire que "elle est vieille, mais l'utiliser c'est pas bien" (mais on la laisse là quand même).

avatar spockyss | 

Webex

avatar supermars | 

Est-ce qu’il existe des problèmes de sécurité avec Zoom sur Windows ?

avatar CGe0h | 

Je ne vais pas jouer les rabat-joies mais si nos politiques ne trouvent pas le moyen technique de faire une visio-conf, ils peuvent faire une conf/call, a l’ancienne, tout simplement.
Je sais c’est moins fun tu peux pas voir la tronche des copains, mais bon...
Revenons à la réalité. Ils peuvent aussi en profiter par ailleurs pour réduire un peu le nombre de participants, la réunionnite aiguë ça commence à bien faire ...
Bref... faire des conf-calls pour ne rien dire c’est bien, travailler intelligemment et optimiser les ressources, c’est mieux ! 😐

avatar tupui | 

@CGe0h

👍 !!! C’est comme les voyages d’affaires à gogo...

avatar RicoLaaa | 

Infomaniak vient de sortir une solution gratos si vous cherchez des alternatives à zoom
https://infomaniak.com/meet

avatar Patman78 | 

Y a plein de plateformes qui offrent ça. Avec un petit forfait certes pour celles les plus business et gratuites pour d’autres.

avatar pacou | 

Nous sommes sur GSuite business et nous utilisons Meet

C’est plutôt pas mal

avatar Walwald75 | 

Salut Viber vient de passer à 20 participants.

Pages

CONNEXION UTILISATEUR