Multiples problèmes de sécurité dans Zoom

Plusieurs problèmes de sécurité relatifs à l’utilisation de Zoom ont été signalés et largement relayé par la presse, qui est une application d’appels et de visioconférences ayant gagné une forte popularité due à sa facilité d’usage, aux mesures de confinement et au développement du télétravail. 

Ces problèmes incluent :

  • un chiffrement faible et non de bout-en-bout

  • des faux domaines Zoom créés par des groupes de cybercriminels

  • des perturbations de réunions dues à des politiques de sécurité faibles par défaut (Zoombombing)

  • des atteintes aux données personnelles et à la vie privée des utilisateurs (envoi de données à Facebook sans consentement préalable) 

  • une vulnérabilité dans l’application pour macOS pouvant permettre à un attaquant d’élever ses privilèges

  • une vulnérabilité dans l’application pour macOS pouvant permettre à un attaquant de prendre le contrôle du micro et de la webcam d’un utilisateur

  • une vulnérabilité dans l’application pour Windows pouvant permettre à un attaquant de voler des identifiants dont l’exploitation est jugée triviale

Pour plus de détails, un document rédigé par le CERT-EU est disponible dans l’espace utilisateur : https://cyberveille-sante.gouv.fr/documents-prives/1735-rapport-sur-les-vulnerabilites-de-zoom-2020-04-07

Informations
+

Risques

  • Fuite de données sensibles

  • Atteinte aux données personnelles

  • Elévation de privilèges

  • Vol d’identifiants

  • Prise de contrôle à distance

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement, cependant la plupart des vulnérabilités sont jugées comme triviales à exploiter


Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour Zoom vers sa dernière version. L’éditeur n’a pas encore corrigé toutes les vulnérabilités citées précédemment, des bulletins d’informations sont disponibles sur leur blog lors d’une nouvelle mise à jour.

Solution de contournement

  • Si possible, il est conseillé d’éviter l’usage de Zoom pour des réunions impliquant des sujets et des données sensibles, et de privilégier l’usage de solutions éprouvées, voire qualifiées par l’ANSSI.