Les hackers de Computest ont levé le voile sur le bug découvert dans un rapport étoffé posté sur le blog de l'entreprise. Il s'agit de ce qu'on appelle un 'remote code execution' bug permettant en principe à quelqu'un de prendre le contrôle de l'ordinateur d'une victime via l'appli Zoom.

La faille se compose en fait de trois bugs, dont le CVE-2021-30480, un bug connu depuis assez longtemps déjà qui se manifeste lors de la connexion à distance avec un ordinateur. Comme l'écrivent les chercheurs de Sector 7, cela a nécessité pas mal de travail de codage pour en arriver à un piratage efficace, notamment par manipulation de code dans le transfert de liens d'image. Pour rendre le piratage opérationnel, la victime doit cependant accepter l'agresseur en tant que contact via Zoom, ou travailler pour la même organisation. Le piratage a fonctionné sur MacOS et Windows.

Le bug a été découvert lors d'un hackathon en avril, Pwn2Own, sponsorisé par la Zero Day Initiative en collaboration avec Zoom même. Daan Keuper et Thijs Alkemade de Sector 7 ont ainsi remporté un prix de 200.000 dollars. Au cours des mois qui ont suivi le concours, Zoom a colmaté les brèches.

Les hackers de Computest ont levé le voile sur le bug découvert dans un rapport étoffé posté sur le blog de l'entreprise. Il s'agit de ce qu'on appelle un 'remote code execution' bug permettant en principe à quelqu'un de prendre le contrôle de l'ordinateur d'une victime via l'appli Zoom.La faille se compose en fait de trois bugs, dont le CVE-2021-30480, un bug connu depuis assez longtemps déjà qui se manifeste lors de la connexion à distance avec un ordinateur. Comme l'écrivent les chercheurs de Sector 7, cela a nécessité pas mal de travail de codage pour en arriver à un piratage efficace, notamment par manipulation de code dans le transfert de liens d'image. Pour rendre le piratage opérationnel, la victime doit cependant accepter l'agresseur en tant que contact via Zoom, ou travailler pour la même organisation. Le piratage a fonctionné sur MacOS et Windows.Le bug a été découvert lors d'un hackathon en avril, Pwn2Own, sponsorisé par la Zero Day Initiative en collaboration avec Zoom même. Daan Keuper et Thijs Alkemade de Sector 7 ont ainsi remporté un prix de 200.000 dollars. Au cours des mois qui ont suivi le concours, Zoom a colmaté les brèches.