Zoom : trois failles de sécurité permettent de prendre le contrôle de votre ordinateur

L’application de visioconférence Zoom est devenue populaire depuis la démocratisation du télétravail imposée par les restrictions sanitaires. Cependant, elle fait face à plusieurs failles de sécurité et c’est dans le cadre du concours de hacking Pwn2Own que deux experts néerlandais les ont découvertes.

Zoom s’est imposée comme l’application de visioconférence de référence. Dans la conjoncture actuelle, elle permet à des millions d’utilisateurs de communiquer, mais elle a récemment été victime de trois failles de sécurité qui permettent entre autres à une ou plusieurs personnes malveillantes de prendre le contrôle à distance de l’ordinateur, et sans aucune intervention de son propriétaire.

Ce n’est pas la première fois que le service de visio est confrontée à des problèmes de sécurité. En mai 2020, une version infectée de Zoom envahissait le Net. Sans parler des 500 000 comptes piratés et disponibles sur le dark Web découverts en avril 2020. Dans un récent rapport Zoom affirmait avoir fait énormément de progrès afin de résoudre les problèmes de sécurité de son service.

Cependant insuffisants puisque trois nouvelles failles de sécurité ont été découvertes dans le cadre d’un concours organisé baptisé Pwn2Own. Daan Keuper et Thijs Alkemade, de la société Computest ont révélé ces failles au grand jour. De type zero-day, les brèches ont été laissées telles quelles car indétectées.

Une découverte primée 200 000 dollars

Ces brèches permettent aux hackers de s’introduire dans l’application en vue de mettre à exécution leur plan diabolique avant même que la faille ne soit identifiée et colmatée. Les deux chercheurs ont ainsi pu avoir accès à distance à l’ordinateur de la victime.

Aussi bien dans le cas d’une machine Windows que Mac. La prise de contrôle de la webcam, du microphone mais aussi des fichiers présents sur les ordinateurs font partie des lacunes qu’ils ont réussi à dévoiler. D’autres hackeurs plus aguerris ont également pu récupérer l’historique des navigateurs sur les ordinateurs.

zoom failles sécurité

Zoom, partenaire du concours Pwn2Own, affirme que seule la messagerie Zoom Chat est touchée par ces failles. Selon la firme, les autres fonctionnalités ne seraient pas concernées. Depuis, les équipes de sécurité informatique de Zoom travaillent sur un correctif. Les développeurs expliquent que, « l’attaque doit provenir d’un contact externe que l’on a enregistré » afin qu’elle puisse être opérationnelle.

Un constat qui a amené Zoom à conseiller à ses utilisateurs de n’accepter que les contacts de confiance. Dans l’attente de l’arrivée du patch, la société recommande également de favoriser l’utilisation de son service depuis le navigateur plutôt que sur l’application. Enfin, cette découverte de failles de sécurité a permis aux deux chercheurs d’empocher une belle prime de 200 000 dollars. Comme quoi, être « hacker en mode légal » peut être très rémunérateur.

Source : Futura Tech


Laisser un commentaire