Le service de visioconférence Zoom s’installerait soi-même sur les Mac en contournant la sécurité régulière d’Apple, et promeut également qu’il dispose d’un cryptage de bout en bout, mais manifestement pas.

La popularité de Zoom en tant qu’outil de vidéoconférence a grimpé en flèche par rapport au coronavirus

L’utilisation accrue de l’application et du service de visioconférence Zoom pendant l’épidémie de coronavirus entraîne la découverte de plus de problèmes de sécurité. En plus d’avoir précédemment envoyé des données utilisateur à Facebook, qu’il a corrigé, il a maintenant été accusé de deux problèmes de sécurité distincts.

Dans un cas, il fonctionnerait autour de la sécurité Apple à installer, et dans un autre, il prétend un cryptage de bout en bout qu’il n’a pas.

L’utilisateur de Twitter @ c1truz_, responsable technique du programme de suivi des logiciels malveillants VMRay, rapporte que le programme d’installation de l’application Mac de Zoom utilise des scripts de préinstallation et afficherait un faux message système macOS.

Vous êtes-vous déjà demandé comment le programme d’installation de macOS @zoom_us fonctionne sans que vous ayez à cliquer sur installer? Il s’avère qu’ils (ab) utilisent des scripts de préinstallation, décompressent manuellement l’application à l’aide d’un 7zip fourni et l’installent dans / Applications si l’utilisateur actuel est dans le groupe admin (aucune racine n’est requise). pic.twitter.com/qgQ1XdU11M

– Felix (@ c1truz_) 30 mars 2020

“Ce n’est pas strictement malveillant, mais très louche et laisse définitivement un arrière-goût amer”, continue @ c1truz_, “L’application est installée sans que l’utilisateur donne son [or her] le consentement final et une invite très trompeuse sont utilisés pour obtenir les privilèges root. “

“[These are the] mêmes astuces qui sont utilisées par les logiciels malveillants macOS “, conclut-il.

AppleInsider a contacté Zoom concernant l’allégation, mais n’a pas encore reçu de commentaire. Apple n’a pas non plus commenté publiquement, mais cette accusation fait suite à des problèmes précédents où Apple avait forcé une mise à jour macOS sur les utilisateurs afin de résoudre un problème de sécurité Zoom.

Auparavant, une autre solution de sécurité dans l’application Zoom signifiait qu’il était possible pour les sites Web d’allumer les caméras des utilisateurs sans autorisation.

Initialement, Zoom a défendu cela comme un moyen délibéré de faciliter la visioconférence pour les utilisateurs. Il a ensuite reculé et a déclaré qu’il supprimerait la fonctionnalité.

Avant cela, cependant, Apple est intervenu et a utilisé une mise à jour silencieuse forcée de macOS, la méthode par laquelle il traite généralement les logiciels malveillants.

Par ailleurs, The Intercept allègue que Zoom prétend avoir un cryptage de bout en bout pour ses appels de vidéoconférence, mais ce n’est pas le cas.

Plutôt que de procéder à un cryptage de bout en bout, où l’intégralité du chat vidéo ne peut être vu que par l’appelant et ses destinataires, Zoom ferait apparemment ce que l’on appelle le cryptage de transport. Cela rend la connexion entre les utilisateurs et les serveurs de Zoom cryptée, mais n’empêche pas Zoom de voir les appels.

“En fait, Zoom utilise sa propre définition du terme”, dit The Intercept, “qui permet à Zoom d’accéder lui-même à la vidéo et à l’audio non cryptés des réunions.”

Un porte-parole de Zoom a confirmé cela à The Intercept, répondant qu ‘”actuellement, il n’est pas possible d’activer le cryptage E2E pour les réunions vidéo Zoom”.

“Lorsque nous utilisons l’expression” de bout en bout “dans nos autres publications, cela fait référence à la connexion cryptée du point final Zoom au point final Zoom”, a poursuivi le porte-parole de Zoom.