Pour gérer vos consentements :

Sécurité et vie privée : Zoom est-il à la hauteur ?

Faut-il vraiment utiliser Zoom ?

La popularité de ce logiciel de communication est montée en flèche avec la pandémie de coronavirus Covid-19.

L’attention portée aux enjeux de sécurité et de vie privée a crû en parallèle.

En la matière, il y a des choses à redire. Notamment au sujet du chiffrement de bout en bout. Celui-ci n’est effectif ni pour l’audio, ni pour la vidéo, contrairement à ce que laisse entendre la présentation du produit. Les données en question ne sont en l’occurrence protégées que lors de leur transport.

Zoom se réserve en outre le droit de collecter et de partager du « contenu utilisateur » – terme qui englobe de nombreuses données. Face aux inquiétudes, l’éditeur a récemment apporté une clarification à propos de ses pratiques. Il a, entre autres, exclu toute exploitation d’informations à des fins publicitaires.

Contacts inconnus

Toujours au chapitre vie privée, des utilisateurs (qui se compteraient au moins par milliers) ont vu une foule d’inconnus apparaître dans leur liste de contacts.

Le problème semble lié à une fonctionnalité qui met automatiquement en relation les comptes associés à des adresses e-mail dépendant d’un même domaine, et donc censés travailler pour une même organisation. Les principaux fournisseurs de messagerie (Gmail, Hotmail, Yahoo…) sont naturellement exclus du dispositif. Mais les plus petits fournisseurs ne le sont pas…

Windows : attention à la fuite d’identifiants

Autre élément à avoir attiré l’attention : l’application Zoom pour iOS. Le SDK Facebook intégré avait tendance à envoyer un grand nombre de données au réseau social, que l’utilisateur en soit ou non membre.

L’éditeur a corrigé le tir la semaine passée.
Il n’a, en revanche, pas encore éliminé la faille découverte dans son client Windows.

Celui-ci traduit en liens cliquables les URL de type UNC (Universal Naming Convention), qui pointent vers des ressources réseau.

Lorsque l’utilisateur clique sur ce type de lien, le protocole d’authentification NTLM (NT Lan Manager) s’enclenche. Par défaut, il transmet l’identifiant Windows… et le hash du mot de passe, qui peut être craqué en quelques secondes avec des outils accessibles gratuitement.

Ces mêmes liens permettent aussi de lancer des programmes en local. Y compris sans que l’utilisateur soit averti.

Sur Mac aussi

La version Mac de Zoom n’est pas épargnée. Elle abrite des vulnérabilités qui ouvrent la voie à :

  • Une élévation de privilèges
    L’action est rendue possible par le fonctionnement de l’installeur de Zoom. Celui-ci est conçu de sorte à pouvoir installer l’application avec une intervention minimale de la part de l’utilisateur. Voire sans intervention du tout. Il obtient pour cela un accès root, éventuellement à travers l’API AuthorizationExecuteWithPrivileges, qu’Apple considère pourtant comme obsolète. Un tiers peut obtenir cet accès root en modifiant ou en remplaçant un script que déploie l’installeur.

  • L’espionnage du micro et de la webcam
    Et plus globalement l’usage des mêmes permissions que celles dont dispose l’application, par injection de code dans le processus.

On portera également attention au phénomène dit du « zoombombing ». C’est-à-dire les accès indésirables à des réunions. La pratique s’est développée avec le contexte actuel. Pour se l’épargner, il est recommandé, d’une part, de protéger chaque réunion par un mot de passe. Et de l’autre, d’utiliser les salles d’attente, où les utilisateurs patientent avant qu’un administrateur les autorise à rejoindre la discussion.

Photo d’illustration © Zoom

Recent Posts

HTTPA : vers une attestation d’intégrité sur TLS ?

Greffer à HTTPS un mécanisme d'attestation de l'intégrité des environnements d'exécution : c'est l'idée de…

2 heures ago

Microsoft : qui affiche les rémunérations les plus élevées ?

Satya Nadella, Christopher Young, Amy Hood... Le top management de Microsoft bénéficie à plein de…

3 heures ago

Des Surface Pro sujettes à une faille TPM

Microsoft alerte sur une faille qui permet de faire passer pour sain un appareil qui…

8 heures ago

Capella : la nouvelle ombrelle DBaaS de Couchbase

Changement de marque pour l'offre Couchbase Cloud, qui devient Capella et gagne une option supplémentaire…

9 heures ago

Les 12 tendances Tech à suivre en 2022, selon Gartner

L'intelligence artificielle générative et la "data fabric" font partie des grandes tendances technologiques mises en…

1 jour ago

Cybersécurité : est-il efficace de multiplier les outils ?

Plus de la moitié des centres opérationnels de sécurité d'entreprises croulent sous les alertes émanant…

1 jour ago