Un chercheur en sécurité répondant au nom de Jonathan Leitschuh a mis au jour une importante faille informatique dénichée au sein de l’application de visioconférence Zoom installée sur les appareils macOS. Un attaquant était ainsi en mesure de lancer une session vidéo à distance sans la permission de l’utilisateur visé. Une vulnérabilité depuis corrigée par Apple lui-même.

Depuis quelques jours, Zoom se trouve dans l’œil du cyclone. La faute à une vulnérabilité informatique repérée par le chercheur en sécurité Jonathan Leitschuh, dont le billet de blog publié sur Medium le 8 juillet 2019 reçoit un écho médiatique pour le moins important. Zoom repose sur un principe simple : cette application est un service de visioconférence relativement utilisé au sein des entreprises. Selon Jonathan, la faille repérée pourrait affecter plus de 750 000 sociétés dans le monde.

Les tenants et les aboutissants de cette affaire remontent en fait au 26 mars dernier : Jonathan Leitschuh alerte l’entreprise à l’origine de Zoom quant à la présence d’une faille au sein de son système. Faille sur laquelle nous reviendrons plus tard. Les équipes du groupe ont alors 90 jours pour régler l’anomalie : après ce délai, cette faiblesse informatique découverte par l’intéressé fera l’objet d’une divulgation publique.

Une faille au dangereux potentiel

Mais comme l’indique M. Leitschuh, la première réunion visant à réparer le problème n’eut lieu que le 11 juin 2019, soit une dizaine de jours avant l’échéance susmentionnée. De fait, le chercheur pointe d’abord du doigt une certaine forme de passivité au sein de la société. Cette dernière applique alors un correctif le 21 juin, mais celui-ci, visiblement peu efficace, n’entraîne pas la réapparition de la faille. Une autre correction pointe alors le bout de son nez, avant qu’une solution de contournement ne soit trouvée et publiée.

Il aura donc fallu une sortie médiatique de Jonathan Leitschuh pour que les lignes bougent vraiment. Mais avant de vous donner le fin de mot de l’histoire, tâchons de revenir sur l’anomalie en question. Une fois Zoom téléchargé sur un appareil macOS, un serveur web local s’y installait automatiquement. C’est précisément ce fameux serveur web local qui est à l’origine du problème, car n’importe quel site web visité par un utilisateur pouvait en fait interagir avec.

Crédit photo : Michał Kubalczyk via Unsplash.

Au fil de ses recherches, Jonathan Leitschuh a ainsi découvert plusieurs faits intéressants : en premier lieu, un attaquant est en mesure d’initier une visioconférence à distance sur le compte d’un utilisateur, sans la permission de celui-ci. Pis, la webcam peut elle aussi être activée. Comment ? En insérant quelques bouts de code sur son site web, tout en activant la fonctionnalité vidéo « Participants : On » au moment de configurer une session.

Si la cible visite le site internet, ou clique sur une invitation web envoyée par le hacker, alors une conférence vidéo s’enclenchera sans son aval. Jonathan Leitschuh se veut bien plus alarmant que ça : des personnes mal intentionnées pourraient tirer profit de ces liens en mettant en place, à titre d’exemple, une campagne de phishing ou des publicités malveillantes.

Apple à la rescousse

De son côté, Zoom s’est défendu avec les moyens du bord. Dans un billet publié le 8 juillet 2019, la compagnie a tenté d’apporter des solutions quelque peu précaires : elle conseillait de modifier ses paramètres et de cocher l’option « Toujours désactiver ma vidéo ». En d’autres termes, la caméra d’un utilisateur restera inactive à chaque session lancée. En somme, une alternative insuffisante face à l’ampleur de la situation.

Désinstaller l’application ne résoudra d’ailleurs pas le problème. Puisque le serveur web local la réinstallera automatiquement lorsqu’un site web le sollicitera de nouveau pour une visioconférence. Au regard de la tournure des événements, Apple a pris donc le taureau par les deux cornes en déployant une mise à jour automatique, laquelle supprime le serveur local de Zoom. Un moyen de définitivement protéger l’ensemble des utilisateurs, sans entraver les fonctionnalités du service.

Partager sur les réseaux sociaux