Hier, un chercheur en sécurité mettait en cause la sécurité du logiciel de visio-conférence orienté pro Zoom : celui-ci permettait de rejoindre directement une conversation en cliquant sur un lien, faisait tourner un serveur web local pour simplifier ce processus et permettre la re-installation de Zoom qui aurait été effacé. Et ledit serveur résistait, justement, à l’effacement du logiciel pouvant rester installé malgré la suppression de l’app, dans ses versions récentes et plus anciennes. Zoom qui a, comme d’habitude dans ce genre de situation, tenté de minimiser les risques, annonce désormais qu’avec le patch lancé hier le serveur web local n’est plus, et qu’il est possible de désinstaller complètement Zoom depuis la barre des menus.

Zoom supprime son polémique serveur web local

Zoom a mis en place une fenêtre pop-up invitant, depuis l’application, à installer la mise à jour patch, qu’il est également possible de télécharger directement depuis le site web de l’éditeur.

Et Zoom d’expliquer ce que l’on savait déjà : le serveur web local maintenu jusqu’alors avait comme seul but de permettre d’éviter un click supplémentaire pour lancer une visio-conférence. Initialement, les logiciels désirant s’intégrer avec un navigateur pouvaient passer par l’API NPAPI (Netscape Plugin Application Programming Interface), abandonnée pour cause de manque de sécurité. Le serveur web local permettait de contourner cet abandon, ce qui finalement faisait courir des risques sécuritaires de même nature.

« C’est une méthode classique de contournement », précise Andrew, un développeur web sur Twitter. Utilisent notamment cette méthode l’antivirus de TrendMicro, le client bitTorrent uTorrent, ou encore Logitech Options, qui permet de paramétrer les périphériques de la marque. Sur le plan des logiciels de visio-conférence, même constat, la pratique est répandue, du moins si l’on se fie aux réponses au message Twitter d’Andrew. RingCentral (logique ici, c’est une solution sœur de Zoom) et BlueJeans. l’utilisent, tandis que WebEx semble avoir des pratiques à peine moins douteuses, mais avec une approche technique différente.

AUCUN COMMENTAIRE

À vous la parole !

Fermer
*
*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.