MENU
THEMES

PARTAGER CETTE PAGE SUR LES réseaux sociaux:

Une faille de sécurité dans Zoom permettait aux hackeurs de rejoindre des appels privés

Publié le: 18/02/2020  |  Par: Guide Informatique  
Une faille de sécurité dans Zoom permettait aux hackeurs de rejoindre des appels privés

Une vulnérabilité du populaire service de visioconférence Zoom aurait pu permettre à des hackeurs d’écouter les appels. D’après un rapport de l’entreprise Check Point Research, spécialisée en cybersécurité, des failles de sécurité laissaient les hackeurs rejoindre des visioconférences sans invitation. Ces derniers pouvaient alors librement écouter la conversation et potentiellement acquérir des informations ou fichiers confidentiels échangés durant l’appel. Aucun cas n’a été rendu publique et Zoom déclare avoir corrigé le problème. Toutefois, ce rapport réveille les inquiétudes concernant la sécurité des applications de visioconférences ayant accès au microphone et à la caméra.

Chaque appel Zoom est assigné à un identifiant de 9 à 11 chiffres générés aléatoirement que les participants peuvent utiliser comme une adresse pour trouver et rejoindre un appel. Jusqu’à récemment, il était possible d’entrer des identifiants aléatoires indéfiniment pour rejoindre des conférences. Les chercheurs de Check Point sont ainsi parvenus à trouver quels identifiants correspondent à des appels actifs 4% du temps et à en rejoindre certains. Un hackeur utilisant cette technique rejoint un appel comme le ferait n’importe quelle autre personne, il apparaît donc dans la liste des membres de la conférence. Les utilisateurs peuvent donc théoriquement réaliser qu’une personne non invitée est présente. Toutefois, les appels Zoom peuvent accueillir des dizaines de milliers de participants et plus il y a de participants, plus un hackeur a de chance de rejoindre l’appel sans se faire remarquer.

Ce hack reste très limité. Check Point n’est pas parvenu à relier un identifiant d’appel à un utilisateur. Il est donc impossible de savoir qui est dans un appel avant de le rejoindre manuellement. Yaniv Balmas, chef de la cyber recherche à Check Point a donc nommé son procédé « Zoom roulette », car il permet de rejoindre aléatoirement des appels. 

Check Point a fait part de cette faille de sécurité à Zoom et l’entreprise a rapidement corrigé le problème. Les identifiants d’appels sont désormais générés aves des méthodes de cryptographie plus efficaces et le nombre de numéros par identifiants a été revu à la hausse. De plus, les conférences demanderont désormais un mot de passe par défaut. Enfin, il n’est plus possible de scanner les identifiants d’appels comme l’ont fait les chercheurs de Check Point. Après plusieurs essais Zoom bloquera l’adresse IP de l’appareil.

Zoom déclare avoir résolu le problème en Août 2019, ajoutant que la sécurité de ses utilisateurs est sa plus grande priorité. Déjà un an auparavant un chercheur en sécurité avait découvert une faille dans la version Mac de Zoom permettant à un hacker d’accéder à la caméra d’un utilisateur. À l’époque, Zoom avait déclaré que le risque de hack est faible avant d’enfin corriger le problème. L’entreprise basée à San Jose a été fondée en 2011, elle a une valeur de 20 milliards de dollars et est présente dans plus de 180 pays. Elle a récemment annoncé compter parmi ses clients plus de 74 000 entreprises de plus de dix employés.

Les chercheurs de Check Point ne se sont intéressés qu’à Zoom mais ils avertissent les autres services de visioconférence : une application ayant accès au microphone et à la caméra doit avoir une sécurité exemplaire.

Actualités dans la même thématique ...

Après Google, c’est au tour de Nvidia de se lancer dans le cloud gaming. Cette technologie permet de jouer à des jeux vidéo depuis n’importe quel appareil en se connectant via le cloud à un ordinateur exécutant le jeu. Il est ainsi possible de jouer à des jeux ...

Réagir à cet article