Et voici deux nouvelles failles de sécurité pour Zoom

Mickaël Bazoge |

C'est peut-être le bon moment de ne plus utiliser Zoom. Plus le logiciel de vidéoconférence gagne en popularité, plus l'incurie de ses développeurs en matière de sécurité est patente : faux chiffrement de bout en bout, divulgation d'informations personnelles, mauvaises pratiques d'installation… Arrivé là, mieux vaut se chercher une alternative, qu'il s'agisse de Skype, WhatsApp, voire FaceTime si les proches sont tous équipés de produits Apple (récents).

Pour convaincre les plus récalcitrants, le chercheur en sécurité Patrick Wardle a mis la main sur deux vulnérabilités supplémentaires qui touchent spécifiquement le Mac. Pour chacune d'entre elles, le malandrin doit avoir un accès physique à l'ordinateur, ce qui limite les possibilités de piratage. Il n'en demeure pas moins qu'il s'agit de failles de sécurité et que celles-ci continuent de s'empiler.

La première permet à un forban d'obtenir les mêmes droits d'accès au micro et à la webcam de Zoom. Le logiciel doit en effet demander la permission de l'utilisateur pour accéder à ces composants indispensables à son fonctionnement. Cette demande d'autorisation présente une faille qui permet à un bandit d'injecter du code malicieux, afin de récupérer les droits d'accès. Ce dernier peut alors surveiller en douce l'utilisateur.

La deuxième faille est directement liée au système d'installation du logiciel sur macOS, qui va beaucoup trop vite en besogne. Il se trouve qu'un malapris est en mesure de glisser du code avec les privilèges d'un utilisateur lambda afin d'obtenir un accès root. Il peut ainsi accéder aux couches les plus basses et les plus sensibles de macOS, ce qui n'est pas sans poser de sérieux problèmes de sécurité.

Zoom n'a pas encore fourni de correctifs.


Source
Tags
#Zoom
avatar Phoenixxu | 

Forban !
Malappris !

avatar Khrys | 

@Phoenixxu

Je dirais même plus, le malandrin 😁

D'autres synonymes pour de prochains articles croustillants:
- bandit
- brigand
- canaille
- forban
- malfaiteur
- scélérat
- truand
- vaurien
- chenapan
- coquin
- fripon
- fripouille
- filou
- galopin
- gangster
- gredin
- pendard
- sacripant
- sagouin

avatar marc_os | 

@ Khrys

Bachi-bouzouk !

PS: Je viens de découvrir par cette occasion que cette expression n'avait pas été inventée par Hergé pour le capitaine Hadock, mais qu'elle existait bel et bien:
https://fr.wikipedia.org/wiki/Bachi-bouzouk

avatar scanmb | 

@Khrys

Gredin ?

avatar scanmb | 

@Khrys

Désolé je l’ai loupé
Mes excuses
☺️

avatar bhelden | 

Zoom prend cher ces temps-ci... tout comme Griveaux (injustement) un temps...

Théorie du complot : Quel éditeur vous paie pour casser le soft ? 🤪

avatar Doctomac | 

Griveaux, injustement ?

avatar bhelden | 

@Doctomac

C’est le seul exemple comparatif qui m’est venu à l’esprit mais je ne suis en aucun cas ici pour débattre sur quelconque sujet politique (qui en plus n’aurait aucun intérêt).

L’idée à comprendre à travers mon commentaire c’est simplement que si on souhaite détruire quelqu’un ou quelque chose, un coup de média en boucle et ça part à la poubelle...

Cette puissance 😵

M’enfin j’ai quand même été un bon pion, j’ai désinstallé Zoom. Je ne l’utilisais pas de toute façon.

avatar Doctomac | 

Bien en l’occurence, Zoom est une catastrophe. J’ai dû l’utiliser aujourd'hui et comme via le navigateur ça ne marchait pas, j’ai installé l’app. Première déconvenue, le machin s’installe quand on valide la toute première étape de l’installation (.pkg). C’était tellement anomal, que j’ai recommencé une deuxième fois croyant que l’installation initiale n’avait pas marché.

En fait non, le machin s’était installé correctement mais j’ai eu la sensation d’une « enculade » , même si ce n’est pas forcément le cas.

L’année dernière, on avait eu droit à un webserver caché qui permettait de réinstaller Zoom même si on l’avait effacé, posant d’énormes problèmes de sécurité :

https://medium.com/bugbountywriteup/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5

Ça commence à faire beaucoup...

J’ai, comme toi, dégagé ce truc de mon Mac après son utilisation (c’est dommage, la qualité audio et vidéo était au rendez-vous).

avatar bhelden | 

@Doctomac

Même expérience que toi.

Et pour les navigateurs j’ai l’impression que certains fonctionnent et d’autres non. Safari par ex m’ouvre bien la réunion alors que Firefox (d’après mes souvenirs) n’est pas en mesure de la charger et ainsi je dois passer sur l’application .pdk

avatar marc_os | 

@ Doctomac
Comprends pas:
« J’ai dû l’utiliser aujourd'hui [...] C’était tellement anomal, que j’ai recommencé une deuxième fois croyant que l’installation initiale n’avait pas marché. »
« L’année dernière, on avait eu droit à un webserver caché qui permettait de réinstaller Zoom »

Vous l'avez utilisé l'année dernière et vous découvrez aujourd'hui comment l'installer ?
Quant à l'installeur pour le moins curieux, on en a parlé ici sur macg il y a qq jours déjà, donc avant de l'installer aujourd'hui, vous auriez pu être au courant.

avatar Doctomac | 

1) Je ne l’ai pas installé l’année dernière, j’évoquais juste une info qui avait fait grand bruit l’année dernière et dont je m’en souvenais, tant le problème de sécurité était énorme (Apple avait d’ailleurs été obligé d’appliquer une mise à jour de macOS pour supprimer le Webserver).

2) Désolé, mais je ne passe pas mon temps sur MacG et des news peuvent m’échapper. Je n’étais donc pas au courant de ce comportement bizarre dans son installation.

avatar Thierry-J | 

Je ne comrends pas... fonctionnaire, Zoom n'est pas conseillé. On conseille Renater...

Je veux dire pourquoi on nous conseille le circuit officiel et que les ministre utilisent un autre ?

avatar lll | 

Ah ça ! Faites ce que je dis, pas ce que je fais !
C'est aussi cohérent que les présidents qui ont des iPhone, ou les ministres qui songeaient à interdire Signal alors qu'ils l'utilisent eux-mêmes.

avatar bbibas | 

Avoir des amis avec uniquement des iphones pour utiliser FaceTime ! C'est tout ! pas compliqué ! En revanche, 32 en simultanée !

avatar Paquito06 | 

Zoom sur une passoire quotidienne 😆
Tout le monde y passe ^^
J’utilise que Skype for Business (Lync), jusqu’a ce que ca disparaisse en Juillet 2021, et surtout Webex!

avatar huexley | 

Bof encore une fois je trouve que c'est beaucoup de "bruit" pour pas grand chose, a partir du moment où l'on accède physiquement à un poste ou peut faire beaucoup de zoom.

L'installation de Zoom de fait via un script Shell tout con comme beaucoup d'applis repackagées pour faire beau plus qu'autre choses. Concernant l'utilisation abusive de l'API comme indiqué sur le blog vu la faille potentiel quelle traîne c'est plutôt du côté de MacOS qu'il faut regarder, Apple de contente juste de dire que "elle est vieille, mais l'utiliser c'est pas bien" (mais on la laisse là quand même).

avatar spockyss | 

Webex

avatar supermars | 

Est-ce qu’il existe des problèmes de sécurité avec Zoom sur Windows ?

avatar CGe0h | 

Je ne vais pas jouer les rabat-joies mais si nos politiques ne trouvent pas le moyen technique de faire une visio-conf, ils peuvent faire une conf/call, a l’ancienne, tout simplement.
Je sais c’est moins fun tu peux pas voir la tronche des copains, mais bon...
Revenons à la réalité. Ils peuvent aussi en profiter par ailleurs pour réduire un peu le nombre de participants, la réunionnite aiguë ça commence à bien faire ...
Bref... faire des conf-calls pour ne rien dire c’est bien, travailler intelligemment et optimiser les ressources, c’est mieux ! 😐

avatar tupui | 

@CGe0h

👍 !!! C’est comme les voyages d’affaires à gogo...

avatar RicoLaaa | 

Infomaniak vient de sortir une solution gratos si vous cherchez des alternatives à zoom
https://infomaniak.com/meet

avatar Patman78 | 

Y a plein de plateformes qui offrent ça. Avec un petit forfait certes pour celles les plus business et gratuites pour d’autres.

avatar pacou | 

Nous sommes sur GSuite business et nous utilisons Meet

C’est plutôt pas mal

avatar Walwald75 | 

Salut Viber vient de passer à 20 participants.

Pages

CONNEXION UTILISATEUR