Zoom : Une faille de sécurité peut vous inviter de force dans une réunion, exposant vos flux vidéo

Cybersécurité

Zoom, une société qui vend des logiciels de vidéoconférence pour le marché professionnel, modifie son application pour corriger une vulnérabilité au sein de son logiciel qui permet à des sites web malveillants de forcer les utilisateurs à prendre un appel Zoom avec la webcam activée.

zoom

La faille de sécurité a été découverte par le chercheur en sécurité Jonathan Leitschuh, qui l’a documentée dans un article publié récemment sur son blog.

Il a déclaré qu’initialement, la vulnérabilité aurait également permis à une page web de lancer une attaque par déni de service (DoS) sur un Mac en forçant de manière répétée un utilisateur à prendre un appel non valide. Mais cette vulnérabilité DoS, CVE-2019-13449, a été corrigée dans la version 4.4.2 du client macOS.

Lors de discussions avec l’équipe de Zoom au cours des dernières semaines, M. Leitschuh a déclaré que l’entreprise avait proposé un correctif pour cette vulnérabilité de piratage : il s’agissait en réalité de signer numériquement les demandes de sites web adressées au client.

Mais le chercheur a déclaré que cela n’aurait pas résolu le problème, puisqu’un attaquant aurait pu configurer un serveur pour que ce dernier envoie des requêtes au site Zoom afin d’obtenir une signature numérique valide avant de contacter le client.

Remarque : La version originale de cet article indiquait que cette faille était spécifique à Zoom sur Mac, mais Jonathan Leitschuh a confirmé dans un tweet que ce problème pouvait également affecter les utilisateurs Windows. Voir ci-dessous pour savoir comment empêcher Zoom d’activer votre appareil photo par défaut lorsque vous rejoignez une réunion [Mise à jour 2019-07-09T18: 20Z].

Le chercheur a découvert un autre problème : lors de l’organisation d’une réunion, vous pouvez activer les paramètres vidéo dans la rubrique “Vidéo des Participants” pour tous les participants à une réunion. Cela empêche le participant de choisir de connecter sa vidéo ou non, l’obligeant ainsi automatiquement à rejoindre une réunion avec sa vidéo activée.

Etant donné que le client Zoom fonctionne en arrière-plan, un attaquant pourrait intégrer un lien Zoom sur leur site web pour se joindre à une réunion, permettant ainsi à tout utilisateur Zoom d’être instantanément connecté, avec son flux vidéo activé, même s’il n’utilisait pas le logiciel Zoom au premier plan.

Zoom a envoyé une déclaration à plusieurs médias dans laquelle il a indiqué qu’il avait développé le serveur web local en réponse aux modifications introduites par Apple dans Safari 12.

Il l’a fait afin d’économiser quelques clics à l’utilisateur dans un processus de connexion qui était devenu fastidieux. Il a déclaré :

[L’utilisation d’un serveur local en arrière-plan était une] solution légitime pour palier une expérience utilisateur médiocre, permettant à nos utilisateurs de disposer de réunions transparentes en un seul clic, ce qui constitue notre principal élément différenciateur.

À partir de ce mois-ci, Zoom enregistrera les préférences des utilisateurs et des administrateurs concernant l’activation ou non de la vidéo. Sur l’ensemble de ses plateformes, l’utilisateur sera libre de choisir de désactiver ou non la vidéo lors de son premier appel et d’appliquer ce choix aux réunions futures.

Voici un extrait de la déclaration de Zoom :

Tous les nouveaux utilisateurs de Zoom, lorsqu’ils rejoindront leur première réunion depuis un appareil donné, seront invités à indiquer s’ils souhaitent ou non désactiver leur vidéo.

Pour les réunions suivantes, les utilisateurs pourront configurer leurs paramètres vidéo client pour désactiver la vidéo lorsqu’ils rejoindront une réunion. En outre, les administrateurs système pourront préconfigurer les paramètres vidéo des périphériques pris en charge au moment de l’installation ou modifier la configuration à tout moment.

Quoi faire ?

Heureusement, vous pouvez suivre les conseils ci-dessous pour remédier à ce problème :

  • Lancer l’application Zoom.
  • Ouvrez la page “Paramètres” (sur un Mac, utilisez Préférences ou appuyez sur Commande-virgule).
  • Cliquez sur l’option “Vidéo“.
  • Activer le paramètre “Arrêtez ma vidéo en rejoignant une réunion”.

zoom

Sur un Mac, vous pouvez facilement bloquer l’accès de Zoom à votre appareil photo via les paramètres Préférences Système :

  • Cliquez sur le menu Apple (coin supérieur gauche de votre écran).
  • Choisissez Préférences Système
  • Cliquez sur l’icône Sécurité et confidentialité.
  • Cliquez sur l’option Appareil Photo.
  • Vérifiez quelles applications ont accès à votre appareil photo.

zoom

Remarque : Pour modifier les paramètres d’une application, vous devez d’abord cliquer sur l’icône du cadenas et entrer votre mot de passe pour autoriser les modifications. C’est une précaution pour éviter que les applications défectueuses ou malveillantes ne modifient simplement les paramètres.


Billet inspiré de Zoom flaw could force you into a meeting, expose your video feed, sur Sophos nakedsecurity.

Leave a Reply

Your email address will not be published.