Il semble quasiment pas un jour ne se passe sans que davantage de vulnérabilités de Zoom soient découvertes – et pas seulement une mais deux de plus révélées aujourd’hui…

The Verge rapporte qu’un groupe de professionnels de la sécurité a pu utiliser des attaques par force brute pour accéder à des détails sensibles sur près de 2 400 réunions Zoom en une seule journée.

Un outil automatisé développé par des chercheurs en sécurité est capable de trouver environ 100 ID de réunion Zoom en une heure et des informations pour près de 2400 réunions Zoom en une seule journée de numérisation, selon un nouveau rapport de l’expert en sécurité Brian Krebs.

Le professionnel de la sécurité Trent Lo et des membres de SecKC, un groupe de rencontre sur la sécurité basé à Kansas City, ont créé un programme appelé zWarDial qui peut automatiquement deviner les ID de réunion Zoom, qui comportent de neuf à 11 chiffres, et glaner des informations sur ces réunions, selon le rapport. .

En plus de pouvoir trouver environ 100 réunions par heure, une instance de zWarDial peut déterminer avec succès un ID de réunion légitime 14% du temps, a déclaré Lo à Krebs sur la sécurité. Et dans le cadre des près de 2400 réunions Zoom à venir ou récurrentes que zWarDial a trouvées en une seule journée de numérisation, le programme a extrait le lien Zoom, la date et l’heure, l’organisateur de la réunion et le sujet de la réunion, selon les données que Lo a partagées avec Krebs on Security.

Le nombre était si élevé qu’il a conduit Zoom à se demander si son action consistant à exiger des mots de passe par défaut ne fonctionnait pas.

«Les mots de passe pour les nouvelles réunions sont activés par défaut depuis la fin de l’année dernière, à moins que les propriétaires de compte ou les administrateurs ne se soient retirés. Nous examinons des cas uniques pour déterminer si, dans certaines circonstances, les utilisateurs non affiliés à un propriétaire ou administrateur de compte peuvent ne pas avoir activé les mots de passe par défaut au moment de la modification. »

De plus, The Intercept rapporte que le cryptage de Zoom semble présenter de graves défauts.

Les réunions sur Zoom, le service de visioconférence de plus en plus populaire, sont cryptées à l’aide d’un algorithme présentant des faiblesses graves et bien connues, et parfois à l’aide de clés émises par des serveurs en Chine, même lorsque les participants aux réunions se trouvent tous en Amérique du Nord, selon des chercheurs de l’Université. de Toronto […]

Ils concluent […] que le service de Zoom n’est «pas adapté aux secrets» et qu’il peut être légalement obligé de divulguer les clés de chiffrement aux autorités chinoises et «sensible à la pression» de celles-ci.

L’université a également découvert que la forme de cryptage utilisée est plus faible que les revendications de Zoom et constitue une mise en œuvre particulièrement médiocre de la norme la plus faible.

La société affirme que les réunions Zoom sont protégées à l’aide de clés AES 256 bits, mais les chercheurs du Citizen Lab ont confirmé que les clés utilisées ne sont en fait que 128 bits. De telles clés sont toujours considérées comme sécurisées aujourd’hui, mais au cours de la dernière décennie, de nombreuses entreprises ont opté pour des clés 256 bits.

De plus, Zoom chiffre et déchiffre avec AES en utilisant un algorithme appelé mode Electronic Codebook (ECB), “ce qui est bien connu pour être une mauvaise idée, car ce mode de chiffrement préserve les modèles en entrée”, selon les chercheurs du Citizen Lab. En fait, la BCE est considérée comme le pire des modes disponibles d’AES.

La société répond, mais si vous n’utilisez pas déjà l’une des nombreuses alternatives disponibles, les dernières vulnérabilités de Zoom peuvent vous persuader de le faire. Parmi mes amis tech, Whereby semble être un choix populaire.

