Des hackers ont trouvé une faille zero day critique sur les client Windows de Zoom. Ils vendent l’exploitation de cette vulnérabilité pour 500 000 dollars. Ce prix semble trop élevé, car si l’utilisation de la faille permet d’accéder à des informations essentiels, elle nécessite de passer un appel avec la victime pour être déployée.

Le logiciel de visioconférence Zoom est passé de 10 millions d’utilisateurs en décembre 2019 à plus de 200 millions aujourd’hui. Cette croissance fulgurante s’est accompagnée d’une suite de révélations sur ses problèmes de sécurité. Et pour cause : Zoom attire plus que jamais l’attention des chercheurs en cybersécurité et des hackers malveillants, qui dissèquent son code à la recherche de vulnérabilités.

Et justement, deux failles zero day ont été repérées par Motherboard, l’une sur le client Windows de l’application, l’autre (moins importante) sur son client MacOS. Les zero day ne sont pas connues par l’éditeur du logiciel, qui n’a donc pas encore pu déployer des réparations et protections supplémentaires. Elles ont ainsi de bien plus grandes chances de fonctionner.

webradiostarifsscpp2.gif

À 500 000 dollars la vulnérabilité, tout le monde ne peut pas se positionner comme acheteur. // Source : Commons.wikimedia.org

500 000 dollars pour une vulnérabilité difficile à exploiter

La faille Windows serait critique, car elle permettrait d’exécuter du code à distance. Concrètement, un hacker pourrait lancer des programmes sur l’ordinateur de sa victime, et accéder à l’ensemble du système (au-delà de Zoom). Le tout, sans avoir besoin d’intervention de la part de l’utilisateur. L’exploitation de la faille d’accéder aux enregistrements des conversations Zoom et aux documents hébergés sur le système, entres autres. De quoi faire un espionnage industriel bien documenté.

Forcément, la faille va attirer de potentiels acheteurs, et des pirates tentent de vendre le code qui permettrait de profiter de la faille Windows pour 500 000 dollars, un prix élevé, mais loin d’être exceptionnel. Une zero day peut se vendre à partir de quelques milliers de dollars et jusqu’à plus de 2 millions en fonction de son ampleur, de la popularité et du genre de données contenues sur le logiciel affecté.

Costlin Raiu, directeur de l’équipe de recherche et d’analyse de l’entreprise de cybersécurité Kaspersky évalue la vente sur Twitter : le prix est pour lui largement surévalué… mais des personnes paieront sûrement. Si plusieurs experts estiment que la vulnérabilité devrait être jusqu’à deux fois moins chère, c’est parce qu’une d’une condition essentielle à son exploitation limite grandement son exploitation : il faut que le hacker soit en appel avec sa victime.

Zoom ciblé par la montée de l’espionnage industriel

Zoom a déclaré à Motherboard qu’il est au courant de ces ventes, mais qu’il n’a pour l’instant pas identifié les failles en question. En revanche, si certaines personnes commencent à les exploiter, l’éditeur pourrait glaner des informations sur leurs emplacements grâce à ses outils de contrôle, et les réparer.

Tout logiciel a ou a eu des failles zero days. Les grandes entreprises sont plutôt jugées sur leur capacité à y réagir rapidement — avant l’ exploitation en masse de la vulnérabilité –, que sur leur existence (à moins qu’il ne s’agisse d’une faille particulièrement critique).

La faille que nous venons de décrire n’affectera pas l’écrasante majorité des utilisateurs. En revanche, elle pourrait concerner certains employés et dirigeants, présents dans les réunions stratégiques de leur entreprise. L’espionnage industriel est au plus haut, puisque les salariés confinés s’échangent un nombre grandissant d’informations confidentielles sur les logiciels de visioconférence. Des géants américains comme Google et SpaceX ont d’ailleurs banni l’utilisation de Zoom par leurs employés à cause des problèmes de sécurité du logiciel.

Zoom déploie de vrais efforts pour améliorer sa sécurité

En France, des députés s’interrogent sur l’usage de Zoom pour les réunions de travail de l’Assemblée, alors que de son côté le Sénat américain a déjà déconseillé son utilisation. Des logiciels plus sécurisés comme Tixeo ou Jitsi sont conseillés par les experts, mais ils n’ont ni les mêmes capacités ni la même fluidité d’utilisation.

Si Zoom a encore de nombreux problèmes à résoudre, il met enfin les efforts pour y parvenir. Le fondateur de l’entrerprise, Eric Yuan, a annoncé début avril que l’intégralité des efforts de développement de l’entreprise serait consacrée pendant 90 jours à l’amélioration de la sécurité du logiciel. Zoom a déjà résolu son plus gros problème, le « zoombombing », supprimé un étrange lien avec Facebook, et il offre désormais la possibilité à ses abonnés payants de choisir dans quels pays leurs données circuleront.

une comparateur meilleur vpn numerama

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !