Un chercheur en cybersécurité a découvert deux failles 0-day (inconnues auparavant, et pas encore réparées) sur le client de Zoom pour Mac. Ces deux nouvelles casseroles s'ajoutent à la pile accumulée ces dernières semaines par l'application de visioconférence la plus populaire des temps de confinement.

En l’espace de trois mois, Zoom est passé de 10 millions à plus de 200 millions d’utilisateurs. Cette popularité grandissante a poussé les chercheurs en cybersécurité et les journalistes à décortiquer sa sécurité. Ils ont trouvé une pile de casseroles qui prend de la hauteur jour après jour.

Hier, le Bleeping Computer relayait la découverte d’un chercheur qui permettait d’abuser du logiciel de visioconférence pour voler des identifiants Windows. Aujourd’hui, c’est au tour de l’ancien hacker de la NSA Patrick Wardle d’exposer deux vulnérabilités critiques de Zoom, cette fois sur Mac.

Le client Mac de Zoom n’est pas épargné par les vulnérabilités, au contraire. // Source : Louise Audry pour Numerama

La multiplication de ces petits scandales a fait réagir Zoom. Dans un billet de blog publié le 1er avril, le président de l’entreprise Eric Yuan a annoncé qu’il allait, dans les 90 prochains jours, dédier l’ensemble des ressources de l’entreprise à l’amélioration de la sécurité de son application et aux garanties du respect de la vie privée des utilisateurs. Il a aussi promis la rédaction d’un rapport de transparence, une garantie très attendue de la part du milieu de la sécurité. À cela s’ajoutent un renforcement de son programme de bug bounty, et l’intervention de consultants extérieurs à l’entreprise. Zoom a beaucoup de travail pour montrer patte blanche, mais il semble enfin y mettre les moyens.

Le kit d’installation louche de Zoom permet de lancer des hacks

Le hacker Patrick Wardle a d’abord exploité le kit d’installation de Zoom pour Mac afin obtenir des privilèges d’utilisateur root, le plus haut niveau de contrôle sur l’ordinateur. Entre de mauvaises mains, ce niveau de décision permet d’ensuite installer toutes sortes de logiciels malveillants sans que le propriétaire de l’ordinateur s’en rende compte. Dans le pire des cas, ils pourraient installer un rançongiciel, qui peut paralyser l’activité de l’entreprise pendant plusieurs semaines…

Zoom utilise une technique particulière afin de s’installer sur l’ordinateur sans requérir d’action de la part de l’utilisateur. Concrètement, si vous téléchargez le kit d’installation de Zoom, il n’attendra pas d’autorisation supplémentaire pour se déployer sur l’ordinateur.

Une ficelle utilisée par les malwares

« Ce n’est pas une pratique malveillante au sens strict du terme, mais elle est très louche, et laisse un arrière-goût amer. L’application est installée sans que l’utilisateur ne donne son consentement final, et un message extrêmement trompeur est utilisé pour obtenir l’accès aux privilèges d’administrateur. Ce genre d’astuce est utilisé par les malwares qui s’attaquent à Mac OS  », observe le chercheur en cybersécurité Felix Steele sur son compte Twitter.

Cette attaque a tout de même une grande limite : elle doit être lancée par une personne qui a un accès physique à l’ordinateur. La menace ne vous concerne donc probablement pas, mais pourrait — ou devrait — être prise en compte par certaines organisations dont la sécurité doit être maximale.

Accès au micro et à la caméra du Mac, parfait pour du cyberespionnage

La deuxième vulnérabilité découverte par Patrick Wardle permet de détourner une exception contenue dans le code de l’application pour injecter un bout de code malveillant dans Zoom. Il peut, grâce à cette manipulation, enregistrer des réunions sur Zoom, ou bien lancer l’application quand il le souhaite pour accéder à la caméra et au micro du Mac.

En temps normal, Zoom demande à l’utilisateur de valider l’accès de l’application au micro et à la caméra (ce qui est par ailleurs une bonne pratique en termes de sécurité). Dans la version hackée, le code malveillant de Wardle va s’engouffrer dans ce protocole d’acceptation. Ainsi, lorsque l’utilisateur va donner accès à Zoom pour sa réunion, il va également donner une porte d’entrée aux hackers. Cette manipulation permettrait de faire de l’espionnage industriel ou de lancer des manœuvres de chantage.

«  Si vous portez un intérêt à votre sécurité et à votre vie privée, peut-être que vous devriez arrêter d’utiliser Zoom », conseille le chercheur en cybersécurité.

En 2019, Apple a dû traiter Zoom comme un malware

Zoom traîne déjà un précédent catastrophique avec Apple. En juin 2019, un chercheur en cybersécurité, Jonathan Leitschuh, leur avait rapporté une vulnérabilité nouvelle (0day, dans le jargon) sur leur application Mac. Elle permettait à des sites malveillants de lancer la caméra de l’ordinateur sans permission de l’utilisateur, et de l’amener sur une conversation Zoom. L’entreprise avait mis de longs mois avant de corriger la faille.

Zoom tarde à corriger les failles

Et ce n’est pas tout : le chercheur avait également exposé que lorsque les utilisateurs désinstallaient Zoom, l’app laissait derrière elle un élément vulnérable (un local host web serveur). Il permettait de réinstaller l’application sur le Mac, juste en visitant une page web, et sans autre action de la part de l’utilisateur.

Cet élément permettait donc à d’éventuels hackers d’installer des versions malveillantes de Zoom sans interaction avec l’utilisateur. L’entreprise a tellement tardé à corriger cette faille que c’est Apple lui-même qui a automatisé le nettoyage du composant vulnérable. Le géant a pour cela mis à jour son outil macOS de suppression des malwares. Zoom a donc littéralement été traité comme un logiciel malveillant pour compenser son manque de réactivité.

N’utilisez pas Zoom pour vous échanger des informations critiques

Pour l’instant ce genre de piratages complexes ne concerne pas les utilisateurs lambdas. Mais puisque, comme l’indique le dirigeant de Zoom dans son billet de blog,  l’application s’adresse principalement à un usage en entreprise, des pirates pourraient être tentés par ces manipulations complexes, afin d’obtenir des informations critiques qu’ils pourraient ensuite exploiter ou monnayer.

Par exemple, les gouvernements français et britannique semblent s’en servir pour certaines de leurs réunions, et nul doute que des organisations auraient intérêt à en écouter le contenu. Et donc à exploiter la moindre vulnérabilité de Zoom.

Crédit photo de la une : Capture d'écran Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux