Suite à une grosse faille, ZOOM laisse un libre accès à votre PC/Mac

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 12 avril 2021 à 09h35

Comment bien gérer les réunions sur Zoom ?

Plusieurs failles sur l'application de vidéoconférence ZOOM ont été repérées par des chercheurs en cybersécurité néerlandais. En les exploitant, il leur a été possible de prendre le contrôle d'un ordinateur à distance.

Ces derniers mois, ZOOM avait communiqué à plusieurs reprises pour vanter ses progrès en matière de sécurité, alors que des voix s'élevaient pour pointer du doigt les vulnérabilités dont souffraient le logiciel de visioconférence, qui accueillait chaque jour un nombre d'utilisateurs plus important. Mais les révélations de chercheurs en cybersécurité néerlandais mettent une nouvelle fois à mal l'entreprise américaine. Ce ne sont pas une, ni deux, mais trois failles zero-day de sécurité qui ont été dévoilées par messieurs Daan Keuper et Thijs Alkemade.

Une prise de contrôle de votre machine à distance, sans même vous en apercevoir

Les trois failles zero-day découvertes sont assez problématiques, pour ne pas dire « graves », puisqu'elles permettent à un éventuel pirate informatique de prendre le contrôle de votre PC ou de Mac, sans même que vous puissiez vous en apercevoir.

L'avantage, si tant est qu'il y en ait un, est qu'il s'agit de failles de type zero-day. Pour information, une vulnérabilité zero-day consiste en une faille pour laquelle aucun correctif n'a encore été publié. Son effet de surprise permet aux hackers d'en profiter avant que les entreprises concernées ou les chercheurs en sécurité s'aperçoivent de la vulnérabilité. Mais cela limite en même temps la propagation de la connaissance de cette faille.

C'est dans le cadre du concours de hacking Pwn2Own, organisé deux fois par an, que les chercheurs ont découvert ces vulnérabilités. Une découverte qui leur rapporte tout de même la bagatelle de 200 000 euros. D'autres chercheurs ont aussi décroché 200 000 euros en découvrant une faille permettant à un pirate d'exécuter du code arbitraire sur un ordinateur, en utilisant un logiciel concurrent : Microsoft Teams.

Seul l'outil « Chat » de ZOOM est vulnérable

Les deux hackers éthiques de l'entreprise néerlandaise Computest n'ont eu qu'à s'assurer, pour exploiter les failles, que l'application ZOOM était en cours d'exécution sur les machines ciblées, qu'il s'agisse de la version Windows ou du client de bureau pour Mac. Ils ont ainsi eu accès au microphone et à la webcam des appareils, mais aussi à l'ensemble des fichiers des ordinateurs. Ils ont même pu procéder au téléchargement de l'historique de navigation Web des machines touchées.

Si ZOOM n'a pas réagi dans un premier temps, les équipes de l'application ont fini par communiquer et indiquer que seule Zoom Chat, la messagerie du groupe, était concernée. Les « salles de réunion » et webinaires du logiciel ne sont, eux, pas touchés. La firme américaine a affirmé être en train de travailler à la résolution du problème.

Source : Tom's Guide

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Bureautique & productivité

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (8)

orionb1

La faille Teams m’intéresse, quelqu’un en sait plus ?

orionb1

J’avais l’impression qu’on en évoquait qu’une seule dans l’article, mais s’il y en a plusieurs toutes m’intéressent

philippesnbrd

Teams est aussi concerné : Microsoft Teams And Zoom Hacked In $1 Million Competition

c_planet

@Clubic

Ça fait plusieurs fois que je vous vois donner cette définition de vulnérabilité zero-day dans vos articles. Elle est fausse. Une faille zero-day c’est une faille non répertoriée, non publiée.

même wiki retient cette définition : Une vulnérabilité cesse d’être « zero day » dès qu’elle a été identifiée par la communauté de la sécurité informatique.

AlexLex14

La définition que nous donnons est bonne. Désolé de te contredire.

Une faille zero-day, c’est bien une vulnérabilité non-corrigée mais par laquelle AUCUN correctif n’a encore été déployé. Tant que la faille de Zoom n’aura pas été corrigée, elle restera une faille zero-day.

Cette définition, elle m’a été donnée par des experts de la cybersécurité, à de multiples reprises.

Va un peu plus loin que ta simple interprétation de Wikipédia

Et surtout n’oublie pas que l’immense majorité des failles dont tu prends connaissance dans la presse ont été corrigées AVANT même que des articles soient publiés. Sauf dans le cas d’une faille zero-day, et c’est le reproche que l’on peut faire ici aux deux chercheurs néerlandais… qui ont pris par surprise Zoom.

jacq4y

J’aimerais bien savoir, ce que ça veut dire « PC ou Mac » ? C’est PC-WINDOWS et Mac-MacOS ?
Les clients Linux de Zoom et Teams sont-ils concernés ?

(Oui, un PC n’est pas forcément sous Windows 10 !!!)

carinae

Pourquoi tu connais beaucoup de logiciels qui n’ont aucune faille ?
La différence entre Zoom et teams c’est que teams est utilisé principalement dans les entreprises et notamment les grandes donc dans un environnement normalement déjà sécurisé. Zoom par contre c’est plutôt pour du particulier et la …il est clair que la sécurité n’est pas la priorité…

c_planet

On ne sera pas d’accord. ni avec tes experts.

En patching, hacking, warez, etc. on a toujours utilisé la numérotation jour-0 pour désigner au plus tard le jour du lancement ou de la divulgation. 24h plus tard, on n’en est déjà plus là.

Quand dans la news d’hier, tu écris « Apple corrige une faille zero-day frappant iOS et iPadOS » ça sous-entend clairement que le public ne connaissait la faille avant-hier, par contre si la découverte 0day a 15 jours on aura une correction de faille +14days. (D’ailleurs pourquoi préciserait-on dans une news qu’apple corrige une faille sans correctif ? sauf cas exotique, on annonce rarement une correction de faille déjà corrigée - ok, chez Ms c’est toute les 2 semaines, lol)