IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un ancien hacker de la NSA découvre une faille dans Zoom permettant de prendre le contrôle des Mac, notamment la webcam, le micro et l'accès root,
Elon Musk interdit à ses employés de l'utiliser

Le , par Bill Fassinou

529PARTAGES

4  0 
La popularité de Zoom est montée en flèche depuis le début de la pandémie du Covid-19, mais beaucoup de choses semblent le rattraper à présent. Les découvertes de failles de sécurité graves se multiplient et Zoom commence par être déprécié par certains patrons de la Tech et d’autres interdisent déjà son utilisation au sein de leurs organisations. Elon Musk vient de le faire. Pendant ce temps, un ex-hacker de la NSA découvre une nouvelle faille de sécurité dans Zoom servant à prendre le contrôle des Mac, en particulier la webcam, le micro et l'accès "root".

Depuis le début de l’année, Zoom a gagné une importante part de marché dans la nouvelle expérience de télétravail forcée par la propagation du Covid-19. Cela a fait en sorte que les chercheurs en sécurité se sont intéressés de plus près aux pratiques de Zoom en matière de sécurité et de confidentialité. Mais, le résultat de cette attention va de plus en plus en défaveur de Zoom qui voit sa cote de popularité chuter à nouveau. Un ex-hacker de la NSA, Patrick Wardle, a montré qu’il est toujours possible d’attaquer un Mac à distance et de le contrôler totalement.

Plus précisément, ce dernier a découvert deux nouveaux bogues qui permettent aux pirates de prendre le contrôle de votre Mac, notamment la webcam, le microphone, et même l'accès root complet. Ce type de problème a déjà été observé au sein de Zoom l’été dernier, mais Zoom a annoncé avoir déployé un correctif pour résoudre le problème. Wardle a découvert qu'un attaquant local avec des privilèges d'utilisateur de bas niveau peut injecter du code malveillant dans l'installateur de Zoom pour obtenir le plus haut niveau de privilèges d'utilisateur, l'accès root.


Une fois cette faille exploitée, l'attaquant peut obtenir et maintenir un accès persistant aux entrailles de l'ordinateur de la victime. Cette action lui permet d'installer des logiciels malveillants ou des logiciels espions. Tout ceci se passe sans que la victime s'en aperçoive. Le second bogue découvert par Wardle exploite une faille dans la manière dont Zoom gère la webcam et le microphone sur les Mac. Zoom, comme toute application nécessitant une webcam et un microphone nécessite en premier lieu le consentement de l'utilisateur.

Mais, selon Wardle, un attaquant peut injecter un code malveillant dans Zoom pour le piéger et lui donner le même accès à la webcam et au microphone que celui dont dispose déjà Zoom. Il a réussi à faire charger son code malveillant par Zoom. « Le code hérite automatiquement d'une partie ou de la totalité des droits d'accès de Zoom », a-t-il déclaré. Selon lui, cela inclut l'accès de Zoom à la webcam et au microphone. « Aucune invite supplémentaire ne sera affichée, et le code injecté a pu enregistrer arbitrairement des données audio et vidéo », a-t-il ajouté.

Cela nous amène à la situation actuelle. Les nouvelles découvertes de Wardle en matière de bogues signifient que les Mac sont à nouveau vulnérables à la prise de contrôle des webcams et des micros, en plus de l’accès root d'un Mac. Zoom devra vite réagir pour corriger ces problèmes alors que son logiciel commence à être déprécié. « Si vous vous souciez de votre sécurité et de votre vie privée, vous devriez peut-être arrêter d'utiliser Zoom », a-t-il écrit dans un article de blogue détaillant ce qu’il a trouvé. Elon Musk et la NASA n’ont pas hésité à interdire Zoom.

Selon Reuters, Musk a adressé une note de service aux employés de SpaceX, sa société de fusée, leur demandant d’arrêter d’utiliser Zoom en raison des soucis liés à sa sécurité. L’entreprise a indiqué à ses employés le 28 mars que tous les accès à Zoom concernant la société avaient été désactivés avec effet immédiat. « Nous comprenons que beaucoup d'entre nous utilisaient cet outil pour des conférences et des réunions », a déclaré SpaceX dans sa note. « Veuillez utiliser le courrier électronique, le texte ou le téléphone comme autres moyens de communication ».

La NASA, l'un des plus gros clients de SpaceX, interdit également à ses employés d'utiliser Zoom, a déclaré Stephanie Schierholz, porte-parole de l'agence spatiale américaine. Selon Reuters, lundi dernier, le bureau de Boston du FBI a émis un avertissement à propos de Zoom, disant aux utilisateurs de ne pas rendre publiques les réunions sur le site ou de partager largement les liens après avoir reçu deux rapports d'individus non identifiés envahissant les sessions scolaires, un phénomène connu sous le nom de “zoombombing”.

Il s’est également avéré la semaine dernière que Zoom ne supporte pas le chiffrement de bout en bout pour ses appels, alors que le site de la société disait le contraire. Zoom s’est ensuite excusé pour cela. « Nous voulons commencer par nous excuser pour la confusion que nous avons causée en suggérant à tort que les réunions de Zoom étaient capables d'utiliser un chiffrement de bout en bout », a déclaré Zoom dans un article de blog. « Zoom s'est toujours efforcé de chiffrer le contenu pour le protéger dans le plus grand nombre de scénarios possible, et dans cet esprit, nous avons utilisé le terme de chiffrement de bout en bout ».

Enfin, la société a également déclaré qu'elle chiffre tout le contenu des réunions Zoom où tout le monde utilise l'application Zoom et où les sessions ne sont pas enregistrées. Elle a déclaré qu'elle était actuellement incapable de chiffrer le contenu lorsque les utilisateurs se connectent en utilisant d'autres appareils. Toutefois, en attendant que Zoom corrige ces problèmes, la société risque de perdre énormément d’utilisateurs au profit des solutions concurrentes.

Sources : Patrick Wardle, Reuters

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Les réunions sur Zoom ne supportent pas le chiffrement de bout en bout. Zoom a donc la capacité technique d'espionner les réunions vidéo privées

Zoom divulguerait les adresses mail et photos des utilisateurs et permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus

Ordinateurs Mac : une faille de sécurité zero-day a été détectée sur le logiciel zoom et pourrait permettre aux sites Web de détourner la caméra

En Chine, le coronavirus force la plus grande expérience de travail à domicile au monde, le télétravail semble être la seule solution dont disposent les entreprises

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Arb01s
Nouveau membre du Club https://www.developpez.com
Le 03/08/2021 à 21:22
Si on veut vraiment de la sécurité, on génère soi-même sa paire publique/privée, on se l'échange par un moyen détourné (pitié, pas en clair par mail), puis on utilise une solution de communication fiable (ProtonMail, Thunderbird, Jami (Ring), Mumble... du logiciel libre ou des acteurs étiques)
L'avantage justement du chiffrement asymétrique et des clés publiques et privées est que l'on peut s’échanger nos clés PUBLIQUES par un medium non chiffré, car c'est justement une clé publique. A contrario, la clef privée ne doit jamais être communiquée à personne, même à nos interlocuteurs de confiance.
4  0 
Avatar de Eric80
Membre confirmé https://www.developpez.com
Le 08/04/2020 à 15:17
Teams est utlisé depuis un bon moment déjà ds bcp d entreprises, donc il est probable que les failles de sécurités y soient analysées aussi depuis plus longtemps.

Je trouve hallucinant comment zoom est devenue LA plateforme en quelques semaines, et que tout le monde s'y met avec des failles aussi béantes que ce zoombombing.
Preuve que > 80% (à la louche) des utilisateurs ne se soucient guère des pbs de sécurité, car ils n y sont pas initiés.

QQues pistes sur la popularité de Zoom:
https://www.businessinsider.com/zoom...?r=US&IR=T

Avec le renaming de Office 365 en Microsoft 365, Teams devient offert au gd public: probable que le succès de Zoom et surtout le confinement généralisé sont des motivations fortes pour MS de fournir Teams pour tous.
2  0 
Avatar de defZero
Membre extrêmement actif https://www.developpez.com
Le 10/11/2020 à 18:57
Petit rappel de bon sens : le chiffrement de bout en bout sert uniquement à protéger les éditeurs d'éventuelles poursuites judiciaires au cas où leur logiciel serait utilisé à mauvais escient.
Ils peuvent ainsi prétendre ne pas savoir ce qui se tramait sur leur plateforme.
On l'a vu avec Encrochat, il est techniquement et légalement possible d'intercepter les discussions qui transitent sur ces messageries en cas de besoin.
@Jeff_67
Sauf que le chiffrement de bout en bout "bien implémenté", devrait justement rendre impossible toute interception par un tiers puisqu'elle doit être faite en P2P entre les intervenants de la communication sans passer par un serveur centrale.
Le seule moyen de "percer" le chiffrement serait d'avoir la main sur l'un des intervenants de la communication qui doit bien détenir les clés de déchiffrements pour consulter les messages en clair.
Donc que ce soit techniquement ou légalement, c'est juste impossible de d’exiger d'un tiers d'intercepter les communications, puis qu’à la base il n'a aucun moyen d'y accéder en clair, si implémenté dans les règles sans portes dérobés et sans algo de cryptage troués.
2  0 
Avatar de el_slapper
Expert éminent sénior https://www.developpez.com
Le 08/04/2020 à 7:54
ma boite (américaine) vient de proscrire Zoom pour les communications internes. Je suppose que ce n'est pas un hasard. On utilise Teams- mais je ne sais pas si c'est plus sécurisé, ou si les failles ne sont pas encore connues...
1  0 
Avatar de Jeff_67
Membre chevronné https://www.developpez.com
Le 11/11/2020 à 7:03
Citation Envoyé par defZero Voir le message
Sauf que le chiffrement de bout en bout "bien implémenté", devrait justement rendre impossible toute interception par un tiers puisqu'elle doit être faite en P2P entre les intervenants de la communication sans passer par un serveur centrale.
Le seule moyen de "percer" le chiffrement serait d'avoir la main sur l'un des intervenants de la communication qui doit bien détenir les clés de déchiffrements pour consulter les messages en clair.
Donc que ce soit techniquement ou légalement, c'est juste impossible de d’exiger d'un tiers d'intercepter les communications, puis qu’à la base il n'a aucun moyen d'y accéder en clair, si implémenté dans les règles sans portes dérobés et sans algo de cryptage troués.
En l’occurence, dans l’affaire Encrochat, la gendarmerie a eu légalement accès aux serveurs situés en France grâce à une commission rogatoire pour diffuser un malware et trouer la sécurité des terminaux à l’insu des usagers. Aux USA, c’est encore mieux, le Patriot Act peut contraindre les entreprises à trouer la sécurité de leurs logiciels avec interdiction de le dévoiler publiquement.
1  0 
Avatar de Jeff_67
Membre chevronné https://www.developpez.com
Le 10/11/2020 à 14:51
Petit rappel de bon sens : le chiffrement de bout en bout sert uniquement à protéger les éditeurs d'éventuelles poursuites judiciaires au cas où leur logiciel serait utilisé à mauvais escient. Ils peuvent ainsi prétendre ne pas savoir ce qui se tramait sur leur plateforme. On l'a vu avec Encrochat, il est techniquement et légalement possible d'intercepter les discussions qui transitent sur ces messageries en cas de besoin.
0  0 
Avatar de Steinvikel
Membre expert https://www.developpez.com
Le 13/11/2020 à 23:54
Citation Envoyé par defZero Voir le message
Sauf que le chiffrement de bout en bout "bien implémenté", devrait justement rendre impossible toute interception par un tiers puisqu'elle doit être faite en P2P entre les intervenants de la communication sans passer par un serveur centrale.
Le seule moyen de "percer" le chiffrement serait d'avoir la main sur l'un des intervenants de la communication qui doit bien détenir les clés de déchiffrements pour consulter les messages en clair.
Donc que ce soit techniquement ou légalement, c'est juste impossible de d’exiger d'un tiers d'intercepter les communications, puis qu’à la base il n'a aucun moyen d'y accéder en clair, si implémenté dans les règles sans portes dérobés et sans algo de cryptage troués.
En fait pas exactement. Le chiffrement est dit de bout en bout, mais puisque les 2 paires de clés publique/privé sont délivrées par l'éditeur, et utilisées par son outil, le tout à travers son infrastructure (service centralisé), au final ce n'est de bout en bout que jusqu'à ce qu'il décide d'utiliser les clés pour analyser la communication coté serveur avant de la router au destinataire... le trou de sécurité tient simplement du fait que le serveur qui route les paquets a connaissance des clés utilisées pour chiffrer comme pour déchiffrer.
C'est pareil pour les mail chiffrés de Google... ou n'importe quel mise en oeuvre de chiffrement qui s'appuie sur un service centralisé qui est en charge de générer lui-même les clés de chiffrement des 2 acteurs de la communication. Tout acteur vous prônant le contraire ne fait qu'émettre des promesses.

Si on veut vraiment de la sécurité, on génère soi-même sa paire publique/privée, on se l'échange par un moyen détourné (pitié, pas en clair par mail), puis on utilise une solution de communication fiable (ProtonMail, Thunderbird, Jami (Ring), Mumble... du logiciel libre ou des acteurs étiques)
0  0 
Avatar de p@radox
Membre du Club https://www.developpez.com
Le 05/08/2021 à 19:07
Citation Envoyé par Arb01s Voir le message
L'avantage justement du chiffrement asymétrique et des clés publiques et privées est que l'on peut s’échanger nos clés PUBLIQUES par un medium non chiffré, car c'est justement une clé publique. A contrario, la clef privée ne doit jamais être communiquée à personne, même à nos interlocuteurs de confiance.
oui et ajouterais que " une solution de communication fiable " n'est justement PAS l'email que ce soit proton ou gmail !
0  0 
Avatar de NicoTips
Candidat au Club https://www.developpez.com
Le 05/08/2021 à 20:05
Pour information, la NSA diffusé en novembre 2020 un comparatif de 17 solutions collaboratives, le problème de Zoom y est mentionné dans la table en page 5:
https://media.defense.gov/2020/Aug/1...L_20200814.PDF
On y découvre que peu de solutions proposent l'encryptage end-to-end.
0  0 
Avatar de gerard093
Membre actif https://www.developpez.com
Le 08/08/2021 à 10:02
J'ai été convié à deux réunions avec zoom, l'une dans le cadre de la présentation de formation à distance pendant le covid, la seconde pour le conseil en gestion personnelle. Ces deux réunions utilisaient zoom.

Après des difficultés de connexion, la conversation est devenue hachée. Puis mon poste a subi une attaque avec perte de contrôle clavier et souris. On peut donc suspecter une attaque par deni de service.

Dans chaque cas, ma participation aux réunions s'est soldée par un échec. Je suis utilisateur de firefox.

Pour l'instant zoom est la seule plate forme à m'avoir déçu.

Bon. En partant d'en bas, on ne peut que s'améliorer ...
0  0