Sécurité et vie privée : Zoom est-il à la hauteur ?

Clément Bohic,
Zoom logo

Quelles garanties pour Zoom en matière de sécurité et de vie privée ? L’inquiétude croît parallèlement à l’usage du logiciel.

Faut-il vraiment utiliser Zoom ?

La popularité de ce logiciel de communication est montée en flèche avec la pandémie de coronavirus Covid-19.

L’attention portée aux enjeux de sécurité et de vie privée a crû en parallèle.

En la matière, il y a des choses à redire. Notamment au sujet du chiffrement de bout en bout. Celui-ci n’est effectif ni pour l’audio, ni pour la vidéo, contrairement à ce que laisse entendre la présentation du produit. Les données en question ne sont en l’occurrence protégées que lors de leur transport.

Zoom se réserve en outre le droit de collecter et de partager du « contenu utilisateur » – terme qui englobe de nombreuses données. Face aux inquiétudes, l’éditeur a récemment apporté une clarification à propos de ses pratiques. Il a, entre autres, exclu toute exploitation d’informations à des fins publicitaires.

Contacts inconnus

Toujours au chapitre vie privée, des utilisateurs (qui se compteraient au moins par milliers) ont vu une foule d’inconnus apparaître dans leur liste de contacts.

Le problème semble lié à une fonctionnalité qui met automatiquement en relation les comptes associés à des adresses e-mail dépendant d’un même domaine, et donc censés travailler pour une même organisation. Les principaux fournisseurs de messagerie (Gmail, Hotmail, Yahoo…) sont naturellement exclus du dispositif. Mais les plus petits fournisseurs ne le sont pas…

Windows : attention à la fuite d’identifiants

Autre élément à avoir attiré l’attention : l’application Zoom pour iOS. Le SDK Facebook intégré avait tendance à envoyer un grand nombre de données au réseau social, que l’utilisateur en soit ou non membre.

L’éditeur a corrigé le tir la semaine passée.
Il n’a, en revanche, pas encore éliminé la faille découverte dans son client Windows.

Celui-ci traduit en liens cliquables les URL de type UNC (Universal Naming Convention), qui pointent vers des ressources réseau.

Lorsque l’utilisateur clique sur ce type de lien, le protocole d’authentification NTLM (NT Lan Manager) s’enclenche. Par défaut, il transmet l’identifiant Windows… et le hash du mot de passe, qui peut être craqué en quelques secondes avec des outils accessibles gratuitement.

Ces mêmes liens permettent aussi de lancer des programmes en local. Y compris sans que l'utilisateur soit averti.

Sur Mac aussi

La version Mac de Zoom n'est pas épargnée. Elle abrite des vulnérabilités qui ouvrent la voie à :

  • Une élévation de privilèges
    L'action est rendue possible par le fonctionnement de l'installeur de Zoom. Celui-ci est conçu de sorte à pouvoir installer l'application avec une intervention minimale de la part de l'utilisateur. Voire sans intervention du tout. Il obtient pour cela un accès root, éventuellement à travers l'API AuthorizationExecuteWithPrivileges, qu'Apple considère pourtant comme obsolète. Un tiers peut obtenir cet accès root en modifiant ou en remplaçant un script que déploie l'installeur.
  • L'espionnage du micro et de la webcam
    Et plus globalement l'usage des mêmes permissions que celles dont dispose l'application, par injection de code dans le processus.

On portera également attention au phénomène dit du « zoombombing ». C'est-à-dire les accès indésirables à des réunions. La pratique s'est développée avec le contexte actuel. Pour se l'épargner, il est recommandé, d'une part, de protéger chaque réunion par un mot de passe. Et de l'autre, d'utiliser les salles d'attente, où les utilisateurs patientent avant qu'un administrateur les autorise à rejoindre la discussion.

Photo d'illustration © Zoom