Le zoom facilite l'accès des pirates informatiques aux webcams. Voici ce qu'il faut faire

Illustration artistique de pirates sans fil dans votre ordinateur.
agrandir / Illustration artistique de pirates sans fil dans votre ordinateur.

L’un des moyens les plus simples de déterminer si une personne est concernée par la sécurité informatique est de regarder son ordinateur portable. Si la webcam est recouverte de ruban adhésif ou d’autocollant, c’est probablement le cas. Un rapport récent sur l'application de conférence Zoom pour Mac montre pourquoi cette approche est logique.

Le chercheur Jonathan Leitschuh a déclaré lundi que, dans certains cas, les sites Web pouvaient amener les visiteurs à appeler automatiquement lorsque les caméras sont allumées. Il n’est pas difficile d’imaginer qu’il s’agit d’un problème pour les personnes en peignoir ou au beau milieu d’une conférence professionnelle délicate, puisqu’un lien malveillant ne déclenchera pas d’avertissement préalable et ouvrira Zoom et transmettra tout ce qui est visible à la caméra.

Les développeurs de Zoom avaient presque certainement l'intention de simplifier l'utilisation de l'application de conférence Web. Mais si les utilisateurs n'ont pas ajusté leurs paramètres à l'avance, les résultats de Lietschuh montrent comment les malfaiteurs peuvent utiliser cette facilité d'utilisation contre des utilisateurs par inadvertance. Un exploit de preuve de concept est disponible ici, mais le lecteur doit être averti: en fonction de vos paramètres de zoom, votre webcam peut bientôt transmettre tout ce qu'elle voit à de parfaits inconnus.

"Cette vulnérabilité permet à tout site Web d’agrandir un utilisateur vidéo-activé sans l’autorisation de cet utilisateur", a écrit Leitschuh.

Leitschuh est principalement là. Lorsque vous cliquez sur le lien, Zoom s'ouvre automatiquement et vous pouvez rejoindre un appel. Comme mentionné précédemment, les vidéos ne sont collectées que si Zoom est configuré pour démarrer des conférences lorsque la caméra est allumée. Certains reportages dans les médias et commentateurs des médias sociaux ont déclaré que ce comportement permettait aux sites Web de "détourner" une webcam Mac. Je dirais que c'est un étirement car (1) il est évident que Zoom est ouvert et diffusé, quoi que voit la caméra, et (2) il est facile de quitter la conférence immédiatement ou simplement la caméra off.

Si vous souhaitez empêcher la capture vidéo, cliquez une fois sur une case dans les paramètres de zoom pour conserver la vidéo désactivée lorsque vous joignez une vidéo. Attention toutefois: même si ce paramètre est activé, les sites peuvent forcer les Mac à ouvrir Zoom et à rejoindre une conférence.

Dan Goodin

Cela ne veut pas dire que la menace révélée par Leitschuh n'est qu'un mouvement de la main. Ce n'est pas. Mais cela souligne l’équilibre quasi impossible que les développeurs doivent battre. Si vous rendez l'utilisation d'une fonction trop difficile, les utilisateurs passent à un produit concurrent. Faites-le trop facilement et les attaquants peuvent en abuser pour faire des choses que le développeur n'a jamais imaginées.

Dans ce cas, les développeurs de zoom auraient dû souligner que la participation automatique à une conférence vidéo est une fonctionnalité puissante qui peut mettre en danger la vie privée des utilisateurs. Au lieu de cela, les développeurs ont laissé les utilisateurs le choix sans directives préalables. (En revanche, la lecture audio est automatiquement désactivée lorsque vous rejoignez une conférence Zoom.) En d'autres termes, les développeurs Zoom ont simplifié la connexion automatique avec la webcam. Rétrospectivement, cela est facile à reconnaître grâce à la contribution de Leitschuh.

En réponse à la divulgation de Leitschuh, Richard Farley de Zoom a déclaré que la société publiera une mise à jour ce mois-ci qui "applique et stocke les paramètres vidéo de l'utilisateur de leur première réunion de zoom à toutes les futures réunions de zoom". Farley n'a pas précisé si Zoom fournissait les indications dont de nombreux utilisateurs ont besoin pour faire un choix éclairé.

Un serveur web toujours actif

Les recherches de Leitschuh ont révélé un autre comportement de Zoom pour Mac qui inquiète également les personnes soucieuses de la sécurité. L'application installe un serveur Web qui accepte les requêtes provenant d'autres appareils connectés au même réseau local. Ce serveur continuera à fonctionner même si un utilisateur Mac désinstalle Zoom. Leitschuh a montré comment ce serveur Web peut être utilisé à mauvais escient par des personnes du même réseau pour forcer les Mac à réinstaller l'application.

Ce n'est clairement pas bon. Bien que le serveur Web ne soit accessible qu'aux périphériques du même réseau, les personnes utilisant des réseaux non approuvés continueront d'être exposées au risque. Si des pirates informatiques rencontrent une vulnérabilité d’exécution de code sur un serveur Web, le risque d’abus est encore plus grand. Selon Farley, Zoom a introduit le serveur Web pour contourner une modification introduite dans Safari 12, qui oblige les utilisateurs à cliquer une fois à chaque fois qu'ils souhaitent démarrer l'application de zoom avant de rejoindre une réunion.

"Nous pensons qu'il s'agit d'une solution légitime à une mauvaise expérience utilisateur, car nos utilisateurs peuvent organiser des réunions plus rapidement avec un simple clic de souris", a écrit Farley. "Nous ne sommes pas le seul fournisseur de vidéoconférence à mettre en œuvre cette solution."

Kevin Beaumont, chercheur indépendant en sécurité dit sur Twitter l'application de vidéoconférence BlueJeans pour Mac ouvre également un serveur Web.

Le confort est l'ennemi de la sécurité

À l'instar de la webcam à activation automatique lors de la participation à des réunions, la mise en place d'un serveur Web Zoom est un moyen pratique de générer des coûts de sécurité. Ces deux comportements ne constituent pas une vulnérabilité critique, mais ils suggèrent que les développeurs de Zoom pourraient en faire davantage pour bloquer la version Mac de leur application, en particulier pour les utilisateurs moins au fait des problèmes de sécurité.

Et voici des précautions comme enregistrer des bandes via une webcam. Les utilisateurs ne peuvent jamais être certains que les développeurs ont correctement protégé leurs applications contre le piratage ou une utilisation abusive. Par conséquent, la responsabilité incombe à l'utilisateur final. Pour vous protéger contre l'utilisation abusive de Zoom ou d'un autre logiciel de conférence Web, vous pouvez également utiliser une application telle que Little Snitch et la configurer de sorte que le logiciel de conférence ne puisse accéder à Internet que pendant un temps limité. Une autre fonctionnalité de protection autonome consiste à configurer macOS pour que le zoom ne puisse accéder à la webcam qu'à des moments précis, le cas échéant.

Oui, ces garanties supplémentaires peuvent être agaçantes. Mais ils soulignent également la tension fondamentale entre confort et sécurité.

Le zoom facilite l'accès des pirates informatiques aux webcams. Voici ce qu'il faut faire
4.9 (98%) 32 votes
 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *