Le logiciel de conférences vidéo Zoom regorge de vulnérabilités qui permettent, par exemple, à un attaquant d’accéder au flux vidéo de la webcam du Mac sans confirmation de l’utilisateur visé, simplement en le faisant cliquer sur un lien. L’application fait en outre tourner un serveur web local qui permet de reinstaller automatiquement l’app même si celle-ci a été supprimée.

De multiples vulnérabilités dans Zoom permettent de pirater la webcam des Mac

Ces failles ont été découverte par le chercheur en sécurité Jonathan Leitschuh qui les détaille sur Medium.

La vulnérabilité a été confirmée sur la dernière version du client Mac, la version 4.4.4 et touche les principaux navigateurs qui peuvent intégrer Zoom, Safari, Firefox et Chrome. Une preuve de concept de cette vulnérabilité permet d’accéder au flux vidéo de l’utilisateur visé simplement en le conduisant à cliquer sur un lien. En clair, il suffit de visiter un site web présentant ce type de lien pour avoir une fenêtre ouverte sur votre vie privée.

Comment se protéger ?

Zoom utilise, pour fonctionner, un serveur web local, qui peut également faire l’objet d’une attaque de déni de service. Celui-ci est théoriquement dévolu aux mises à jour du logiciel, qui demeurent rares. Sa particularité est de tourner en tâche de fond et de résister à la suppression de l’app en elle-même. Dans ce cas, le serveur web peut même réinstaller le client sans l’autorisation de l’utilisateur.

Zoom a confirmé ces vulnérabilité et expliqué que le serveur web sert à assurer la possibilité de joindre un meeting vidéo d’un seul clic. Pour limiter les risques posés à la vie privée, Zoom conseille de désactiver la fonction permettant de joindre automatiquement une conférence avec la vidéo activée. C’est un maigre pis-aller assure le chercheur en sécurité.

Plus de 4 mllions de Mac sont susceptibles d’être concernés, pour peu que l’app Zoom ait été installée à un moment ou un autre.

AUCUN COMMENTAIRE

À vous la parole !

Fermer
*
*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.