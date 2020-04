Alors que New York lance une enquête et qu’un recours collectif est intenté contre l’application de vidéoconférence Zoom, un chercheur en sécurité a découvert deux vulnérabilités dans son client macOS.

Les chercheurs en sécurité et les gouvernements soulèvent de nouvelles préoccupations concernant la confidentialité et la sécurité de Zoom.

Zoom est devenu très populaire au milieu de la pandémie de COVID-19, malgré sa réputation de sécurité et de confidentialité douteuse. Et maintenant, lorsque de plus en plus d’utilisateurs se tournent vers l’application pour des réunions de travail ou des discussions avec des amis, les pirates et les gouvernements soulèvent de nouvelles préoccupations concernant la plate-forme.

Vulnérabilités de sécurité

Patrick Wardle, chercheur en sécurité macOS et ancien pirate informatique pour la National Security Agency, a découvert deux nouvelles failles de sécurité locales dans la dernière version du client Mac Zoom.

La première faille repose sur la façon «ombragée» que Zoom s’installe sur un Mac, que nous avons précédemment couvert. En profitant du processus d’installation, qui se fait sans interaction de l’utilisateur, un utilisateur ou un logiciel malveillant avec des privilèges de bas niveau peut obtenir un accès root à un ordinateur – le plus haut niveau de privilèges.

La deuxième faille, qui est sans doute plus préoccupante, permet à un utilisateur local ou à un logiciel malveillant de se superposer aux autorisations de la caméra et du microphone de Zoom. Un attaquant peut injecter du code malveillant dans l’espace de traitement de Zoom et “hériter” des autorisations de caméra et de microphone, leur permettant de les détourner à l’insu de l’utilisateur.

Bien que les exploits locaux comme ceux-ci nécessitent généralement un accès physique à un ordinateur, ils sont généralement beaucoup plus courants et difficiles à empêcher si les autres critères nécessaires sont remplis.

Ce n’est pas non plus la première erreur de sécurité de Zoom. En 2019, un chercheur en sécurité a découvert une vulnérabilité de jour zéro dans l’application qui aurait pu permettre à des sites Web malveillants d’activer et de visualiser une webcam Mac à l’insu des utilisateurs.

Problèmes de confidentialité

Parallèlement aux failles de sécurité, Zoom a également récemment pris le dessus pour ses pratiques de confidentialité. Plus tôt en mars, la carte mère a constaté que l’application Zoom pour iOS envoyait des données utilisateur à Facebook, même si les utilisateurs n’avaient pas de compte Facebook.

Bien que Zoom ait depuis supprimé cette “fonctionnalité”, New York a ouvert une enquête sur l’application et un recours collectif a été intenté en Californie.

Le recours collectif, déposé devant le tribunal de district des États-Unis pour le district nord de la Californie, allègue que Zoom a donné des informations personnelles sur des utilisateurs à des tiers sans être clairement clair sur les pratiques de partage de données, a rapporté CBS News. Le procureur général de New York, Letitia James, a également lancé une enquête sur les politiques de confidentialité de Zoom.

Selon une carte mère, dans un développement séparé, Zoom peut également divulguer par inadvertance des adresses e-mail et des photos d’utilisateurs à des inconnus.

Cela semble se produire, car Zoom traite toutes les adresses e-mail avec des «fournisseurs non standard» (Gmail, Yahoo ou Hotmail) comme des entreprises uniques. Les utilisateurs avec ces adresses non standard peuvent voir les noms complets, les images de profil et les statuts des autres utilisateurs avec le même fournisseur de messagerie. Ils peuvent également démarrer des conversations vidéo avec ces utilisateurs.

Mardi, The Intercept a également allégué que Zoom trompait les clients en affirmant que les appels vidéo étaient cryptés de bout en bout. Ils ne le sont pas. Au lieu de cela, Zoom utilise le cryptage de transport, qui crypte la connexion mais ne masque pas les appels de Zoom lui-même.