Zoom dit que la faille est née d'une solution de contournement pour Safari 12.
Sarah Tew / Camaraderielimited
La webcam de votre ordinateur a toujours été une passerelle pour une intrusion potentielle en matière de sécurité. C'est pourquoi des personnes comme Mark Zuckerberg et l'ancien directeur du FBI, James Comey, ont mis du ruban adhésif sur le leur. Lundi, le chercheur en sécurité Jonathan Leitschuh a donné aux utilisateurs de Mac une autre raison de s’inquiéter pour leurs webcams: il y a une faille de sécurité dans l’application de vidéoconférence Zoom.
Zoom est particulièrement remarquable pour sa fonctionnalité de lien en un clic, où cliquer sur un lien de navigateur vous conduit directement à une réunion vidéo dans l'application Zoom. Mais Leitschuh, dans un article de Medium, a expliqué qu'il avait découvert il y a plusieurs mois que Zoom réalisait cela de manière peu sûre, permettant ainsi aux sites Web de vous joindre à un appel et d'activer votre webcam sans votre permission.
Il ajoute que cela permettrait à une page Web de refuser un service sur un Mac en vous associant à plusieurs reprises à un appel invalide. Désinstaller l'application Zoom de votre Mac ne suffit pas non plus pour résoudre le problème. Zoom remplit sa fonction click-to-join en installant un serveur Web sur votre ordinateur, qui peut réinstaller Zoom sans votre permission.
"Si vous avez déjà installé le client Zoom puis que vous l'avez désinstallé, vous disposez toujours d'un serveur Web localhost sur votre ordinateur qui réinstallera volontiers le client Zoom pour vous", écrit Leitschuh, "sans aucune intervention de l'utilisateur en votre nom." en plus de visiter une page Web. Cette «fonctionnalité» de réinstallation continue de fonctionner à ce jour. "
Voici le premier paramètre que vous devez modifier dans Zoom.
Jonathan Leitschuh / Medium
Si vous avez l'application Zoom installée sur votre Mac, Leitschuh répertorie les instructions pour neutraliser le serveur local dans sa publication Medium. Vous devez également activer le paramètre Désactiver ma vidéo lorsque vous rejoignez une réunion, comme indiqué ci-dessus.
Le chercheur a déclaré avoir contacté Zoom le 26 mars, donnant à la société un délai de divulgation publique de 90 jours. Il a expliqué que Zoom avait corrigé le problème, désactivant la capacité d'une page Web d'activer automatiquement votre webcam, mais que ce correctif partiel avait régressé le 7 juillet, permettant ainsi aux webcams d'être réactivées sans autorisation.
Zoom dans une déclaration a déclaré que le serveur Web local est une solution de contournement pour le navigateur Web Apple Safari 12 introduit en septembre dernier.
"Zoom installe un serveur Web local sur les périphériques Mac exécutant le client Zoom", lit-on dans cette déclaration. "C’est une solution de contournement à un changement d’architecture introduit dans Safari 12 qui oblige l’utilisateur à accepter de lancer Zoom avant chaque réunion. Le serveur Web local accepte automatiquement l’accès au périphérique pour le compte de l’utilisateur afin d’éviter ce clic supplémentaire avant de rejoindre une réunion. Nous Nous pensons qu'il s'agit d'une solution légitime à une expérience utilisateur médiocre, car elle permet à nos utilisateurs de tenir des réunions en un seul clic, ce qui constitue notre principal différenciateur de produits. "
En ce qui concerne une éventuelle attaque par déni de service, Zoom affirme n'avoir aucune trace d'une telle faiblesse exploitée, et indique avoir corrigé cette faille de sécurité en mai.
Avec, entre autres, Slack, Uber et Pinterest, Zoom est l'une des nombreuses entreprises technologiques à devenir une société ouverte en 2019. La société a collecté 356 millions USD lors de son introduction en bourse le 18 avril, ses actions s'échangeant jusqu'à 66 $ ce jour-là. Les actions de la société ont augmenté depuis, se situant actuellement autour de 90,70 $.
