Découverte d’un bug dans la sécurité de l’outil de visioconférence Zoom
Des chercheurs de Check Point Research ont découvert une faille dans la sécurité de Zoom, un outil de visioconférence bien connu. Il en résulte que des pirates ont pu tout un temps mettre Zoom Meetings sur écoute. La brèche serait entre-temps colmatée.
Selon les chercheurs, des pirates pouvaient aisément générer de faux Zoom Meeting ID et examiner la possibilité de faire des victimes en toute connaissance de cause. Ils étaient ainsi à même de mettre sur écoute des réunions sur la plate-forme, ce qui fait qu’ils avaient également accès à tous les fichiers-son, aux vidéos et aux documents échangés entre les participants aux visioconférences.
Zoom est un outil de visioconférence très populaire, qui est utilisé quotidiennement par de nombreuses entreprises et organisations. Dans plus de soixante pour cent des entreprises du classement Fortune500, le logiciel représente l’un des principaux moyens de communication. Check Point Research, l’équipe Threat Intelligence de Check Point Software Technologies, évoque dès lors une ‘importante brèche sécuritaire’.
L’entreprise Zoom Video Communications établie en Californie a entre-temps déployé une série de mises à jour sécuritaires pour l’outil et a pris aussi plusieurs mesures complémentaires. C’est ainsi que dorénavant, un mot de passe sera exigé pour toutes les réunions planifiées. En outre, Zoom n’indiquera plus si un ID de réunion est valable ou non. Pour chaque essai, la page sera chargée, et il y aura une tentative de prendre part à la réunion. Il en résultera qu’un pirate ne sera plus à même de limiter sa commande de recherche au nombre de réunions valables.
Voici comment les pirates procédaient
Pour pouvoir mettre sur écoute une réunion Zoom, les pirates se focalisaient sur les Zoom Meeting ID typiques. Chaque réunion possède son propre numéro d’identification qui est partagé avec les participants. Habituellement, ces ID se composent de numéros de 9, 10 et 11 chiffres. Check Point a découvert qu’un hacker pouvait générer à l’avance une longue liste de Zoom Meeting ID de ce genre et vérifier rapidement grâce à un processus automatisé si ce genre d’ID était valable ou non. Ensuite, le pirate se procurait un accès aux réunions non sécurisées par un mot de passe.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici