Au début de sa série de mises à jour de sécurité en avril, le logiciel de visioconférence Zoom avait oublié de limiter par défaut le nombre de tentatives pour entrer un mot de passe.

Après plus de trois mois d’un immense chantier, Zoom a grandement rehaussé la sécurité de son logiciel de visioconférence. Entre avril et juin, l’entreprise a adressé un à un tous les problèmes qui lui ont été remontés.

Si la plupart des défauts de sécurité du logiciel ont été rendus publics, l’un d’entre eux ne l’était pas, jusqu’à ce billet de blog de Tom Anthony publié le 29 juillet. Ce dirigeant d’une entreprise de cybersécurité a averti Zoom au sujet des mots de passe chargés de protéger les réunions le 1 avril.

« Un principe de sécurité des mots de passe relativement standard consiste à limiter le nombre de tentatives, afin d’empêcher un attaquant d’essayer une liste de mots de passe à la chaîne », écrit-il. Problème : à l’époque, Zoom n’a pas mis cette limite en place, et le chercheur a pu démontrer qu’il pouvait rentrer dans n’importe quelle réunion en moins d’une heure. Et il suppose qu’avec des moyens appropriés, le crochetage virtuel était même réalisable en quelques minutes.

Zoom a corrigé un à un la majorité de ses problèmes de sécurité. // Source : Louise Audry pour Numerama

Il faut dire que les mots de passe par défaut des réunions Zoom contenaient seulement 6 caractères, tous numériques. L’expert a fait un peu de maths, et réalisé qu’il n’avait qu’à essayer au maximum 1 million de mots de passe avant de trouver celui de la réunion. Il n’avait plus qu’à automatiser l’essai de mot de passe et profiter de l’absence de blocage. Tom Anthony donne l’exemple d’un mot de passe trouvé en 25 minutes après 91 000 tentatives, lancées à partir d’une seule machine dans le cloud.

Derrière la vulnérabilité, la crainte du cyberespionnage

Pris à défaut sur l’absence de mise en place d’un standard de sécurité basique, Zoom a cependant réagi très rapidement. L’entreprise a répondu à l’expert un jour après son premier message, et a déployé une fonction pour limiter les tentatives de connexion dès le 9 avril. L’entreprise en a profité pour rendre les mots de passe par défaut plus longs et intégrer des caractères « non numériques », ce qui augmente le nombre de combinaisons possibles pour un mot de passe.

Cette vulnérabilité aurait pu causer des dégâts, et alimenter le cyberespionnage industriel. Une fois qu’il a compromis le mot de passe d’une salle réunion virtuelle, un malfaiteur peut s’y reconnecter quand il le souhaite, tant que l’identifiant n’est pas changé. Il n’a plus qu’à afficher l’identité d’un employé absent de l’entreprise ou se dissimuler derrière un nom générique comme « iPhone » ou « ordinateur » pour ne pas éveiller les soupçons. Et voilà, il a ses deux oreilles dans les affaires de l’entreprise victime.

« Dès que nous avons eu connaissance du problème le 1 avril, nous avons immédiatement arrêté le client Web de Zoom pour garantir la sécurité des utilisateurs le temps d’implémenter les réparations  », précise Zoom, dans un communiqué adressé au Bleeping Computer. Le désormais géant de la visioconférence précise également qu’il n’a pas trouvé de traces qui suggèrent que cette vulnérabilité a été exploitée.

Crédit photo de la une : Louise Audry pour Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux