Zoom corrige la faille de la webcam pour les Mac, mais les problèmes de sécurité persistent

0
35

Zoom a publié un correctif cette semaine pour corriger une faille de sécurité dans la version Mac de son application de chat vidéo sur ordinateur de bureau, qui pourrait permettre aux pirates de prendre le contrôle de la webcam d'un utilisateur.

La vulnérabilité a été découverte par le chercheur en sécurité, Jonathan Leitschuh, qui a publié des informations à ce sujet dans un article publié lundi sur le blog. La faille a potentiellement affecté 750 000 entreprises et environ 4 millions de personnes utilisant Zoom, a déclaré Leitschuh.

Zoom a déclaré que rien n’indiquait que des utilisateurs aient été touchés. Mais les préoccupations concernant la faille et son fonctionnement ont soulevé des questions quant à savoir si d'autres applications similaires pourraient être également vulnérables.

La faille concerne une fonctionnalité de l'application Zoom qui permet aux utilisateurs de rejoindre rapidement un appel vidéo en un clic, grâce à un lien URL unique qui lance immédiatement l'utilisateur dans une réunion vidéo. (La fonctionnalité est conçue pour lancer l'application rapidement et de manière transparente pour une meilleure expérience utilisateur.) Bien que Zoom offre aux utilisateurs la possibilité de laisser leur appareil photo éteint avant de prendre un appel – et que les utilisateurs puissent ensuite éteindre l'appareil photo dans les paramètres de l'application – la valeur par défaut. est d'avoir la caméra sur.

défaut de zoom IDG

Les utilisateurs doivent cocher cette case dans l'application Zoom pour fermer l'accès à la caméra.

Leitschuh a fait valoir que la fonctionnalité pourrait être utilisée à des fins néfastes. En dirigeant un utilisateur vers un site contenant un lien de jointure rapide incorporé et caché dans le code du site, l’application Zoom pourrait être lancée par un attaquant, ce qui aurait pour effet d’allumer la caméra et / ou le microphone sans la permission de l’utilisateur. Cela est possible car Zoom installe également un serveur Web lors du téléchargement de l’application de bureau.

Une fois installé, le serveur Web reste sur l'appareil, même après la suppression de l'application Zoom.

Après la publication du message de Leitschuh, Zoom a minimisé les préoccupations concernant le serveur Web. Mardi, cependant, la société a annoncé qu’elle publierait un correctif d’urgence pour supprimer le serveur Web des périphériques Mac.

«Au début, nous ne pensions pas que la posture sur le serveur Web ou sur la vidéo représentait un risque important pour nos clients et, en fait, nous estimions qu’ils étaient essentiels à notre processus de jointure sans interruption», a déclaré Richard CISCO, Zoom CISO, dans un communiqué. article de blog. «Mais en entendant le tollé de certains de nos utilisateurs et de la communauté de la sécurité au cours des dernières 24 heures, nous avons décidé de mettre à jour notre service.»

Apple a également publié mercredi une mise à jour "silencieuse" garantissant la suppression du serveur Web sur tous les appareils Mac, selon Techcrunch. Cette mise à jour permettrait également de protéger les utilisateurs qui ont supprimé le zoom.

Préoccupations des clients d'entreprise

La gravité de la vulnérabilité a suscité diverses préoccupations. Selon Buzzfeed News, Leitschuh a classé son sérieux à 8,5 sur 10; Zoom a évalué la faille à 3.1 après sa propre révision.

Irwin Lazar, vice-président et directeur des services chez Nemertes Research, a déclaré que la vulnérabilité elle-même ne devrait pas être une source de préoccupation majeure pour les entreprises, car les utilisateurs remarqueraient rapidement que l'application Zoom est lancée sur leur ordinateur.

"Je ne pense pas que cela soit très important", a-t-il déclaré. "Le risque est que quelqu'un clique sur un lien se faisant passer pour une réunion, puis son client Zoom démarre et se connecte à la réunion." Si la vidéo a été configurée comme étant activée par défaut, un utilisateur sera vu jusqu'à ce qu'il se rende compte qu'il l'a déjà été. par inadvertance rejoint une réunion. «Ils remarquaient que le client Zoom s'activait et ils voyaient immédiatement qu'ils avaient été joints à une réunion.

«Au pire, ils sont filmés quelques secondes avant de quitter la réunion», a déclaré Lazar.

Bien que la vulnérabilité elle-même ne soit pas connue pour avoir créé de problèmes, le temps mis par Zoom pour répondre à la question est plus préoccupant, a déclaré Daniel Newman, associé fondateur / analyste principal chez Futurum Research.

"Il y a deux façons de voir cela", a déclaré Newman. «À partir de (mercredi), selon le correctif publié (mardi), la vulnérabilité n’est pas aussi importante.

«Cependant, ce qui est important pour les entreprises, c’est la persistance du problème pendant des mois, la possibilité d’annuler les correctifs initiaux, de recréer la vulnérabilité et de demander maintenant si ce correctif le plus récent constituera une solution permanente. ", A déclaré Newman.

Leitschuh a d'abord averti Zoom de la vulnérabilité à la fin du mois de mars, quelques semaines avant l'introduction en bourse de la société en avril, et avait été informé que son ingénieur de la sécurité était «absent du bureau». Un correctif complet n'a été mis en place qu'après la vulnérabilité. a été rendu public (bien qu'un correctif temporaire ait été mis en place avant cette semaine).

"En fin de compte, Zoom n'a pas réussi à confirmer rapidement que la vulnérabilité signalée existait réellement et à résoudre le problème dans les meilleurs délais", a-t-il déclaré. "Une organisation de ce profil et avec une base d'utilisateurs aussi importante aurait dû être plus proactive dans la protection de leurs utilisateurs contre les attaques."

Dans une déclaration publiée mercredi, Eric S Yuan, PDG de Zoom, a déclaré que la société avait "mal évalué la situation et n’avait pas réagi assez rapidement – et cela nous concerne. Nous en prenons pleinement possession et nous avons beaucoup appris.

"Ce que je peux vous dire, c'est que nous prenons la sécurité des utilisateurs extrêmement au sérieux et que nous nous engageons sans réserve à ce que nos utilisateurs agissent correctement."

Autres vendeurs, défauts similaires?

Il est possible que des vulnérabilités similaires soient également présentes dans d’autres applications de vidéoconférence, les fournisseurs tentant de rationaliser le processus de participation aux réunions.

«Je n'ai pas testé d'autres fournisseurs, mais je ne serais pas surpris s'ils le font (avec des fonctionnalités similaires)», a déclaré Lazar. «Les concurrents de Zoom essayaient de faire correspondre leurs temps de démarrage rapide et leur expérience vidéo-première. La plupart des utilisateurs bénéficient désormais de la possibilité de rejoindre rapidement une réunion en cliquant sur un lien de calendrier."

Monde de l'ordinateur contacté d'autres éditeurs de logiciels de visioconférence de premier plan, notamment BlueJeans, Cisco et Microsoft, pour savoir si leurs applications de bureau nécessitaient également l'installation d'un serveur Web tel que celui de Zoom.

BlueJeans a déclaré que son application de bureau, qui utilise également un service de lancement, ne peut pas être activée par des sites Web malveillants et a souligné dans un article de blog aujourd'hui que son application peut être complètement désinstallée, y compris la suppression du service de lancement.

"La plate-forme de réunion BlueJeans n'est vulnérable à aucun de ces problèmes", a déclaré Alagu Periyannan, CTO de la société et co-fondateur.

Les utilisateurs BlueJeans peuvent soit rejoindre un appel vidéo via un navigateur Web (qui «exploite les flux d’autorisations natifs des navigateurs» pour rejoindre une réunion), soit en utilisant l’application de bureau.

«Dès le début, notre service de lancement a été mis en œuvre avec la sécurité comme priorité», a déclaré Periyannan dans un communiqué. «Le service de lancement garantit que seuls les sites Web autorisés par BlueJeans (par exemple, bluejeans.com) peuvent lancer l'application de bureau BlueJeans dans une réunion. Contrairement au problème mentionné par (Leitschuh), les sites Web malveillants ne peuvent pas lancer l'application de bureau BlueJeans.

«Nous continuons d’évaluer les améliorations à apporter à l’interaction navigateur-ordinateur (y compris la discussion évoquée dans l’article sur CORS-RFC1918) pour nous assurer que nous offrons la meilleure solution possible aux utilisateurs", a déclaré Periyannan. qui ne sont pas à l'aise avec l'utilisation du service de lanceur, ils peuvent travailler avec notre équipe de support pour que le lanceur soit désactivé pour l'application de bureau. ”

Un porte-parole de Cisco a déclaré que son produit Webex «n'installe ni n'utilise un serveur Web local et qu'il n'est pas affecté par cette vulnérabilité».

Microsoft n'a pas immédiatement répondu à une demande de commentaire.

Souligner le danger de l'ombre informatique

Bien que la nature de la vulnérabilité Zoom ait attiré l’attention, pour les grandes entreprises, les risques en matière de sécurité dépassent les vulnérabilités logicielles, a déclaré Newman. "Je pense qu'il s'agit davantage d'un problème informatique SaaS et fantôme que d'un problème de visioconférence", a-t-il déclaré. «Bien sûr, si un équipement réseau n'est pas correctement configuré et sécurisé, les vulnérabilités sont exposées. Dans certains cas, même s’ils sont correctement configurés, les logiciels et micrologiciels des fabricants peuvent créer des problèmes susceptibles de générer des vulnérabilités. ”

Zoom a connu un succès considérable depuis sa création en 2011, avec une gamme de grandes entreprises clientes comprenant Nasdaq, 21stCentury Fox et Delta. Cela s'explique en grande partie par le bouche-à-oreille, l'adoption «virale» par les employés, plutôt que par le déploiement descendant de logiciels souvent imposé par les services informatiques.

Cette manière d’adoption – qui a conduit à la popularité d’applications telles que Slack, Dropbox et d’autres grandes entreprises – peut créer des difficultés pour les équipes informatiques qui souhaitent un contrôle strict des logiciels utilisés par le personnel, a déclaré Newman. Lorsque les applications ne sont pas validées par l'informatique, cela entraîne «des niveaux de risque plus élevés».

«Les applications d'entreprise doivent associer convivialité et sécurité; Ce numéro en particulier montre que Zoom s'est clairement concentré davantage sur le premier que sur le second », a-t-il déclaré.

"Cela fait partie de la raison pour laquelle je reste optimiste sur des équipes telles que Webex et Microsoft", a déclaré Newman. «Ces applications ont tendance à entrer par le biais de l'informatique et sont vérifiées par les parties appropriées. En outre, ces sociétés disposent d'un groupe d'ingénieurs en sécurité spécialisés dans la sécurité des applications. ”

Il a noté la réponse initiale de Zoom – son "ingénieur de sécurité était absent du bureau" et incapable de répondre pendant plusieurs jours. «Il est difficile d’imaginer une réponse similaire tolérée par MSFT ou (Cisco).»

LEAVE A REPLY

Please enter your comment!
Please enter your name here

This site uses Akismet to reduce spam. Learn how your comment data is processed.