Voilà ce que révèle le chercheur en sécurité Jonathan Leitschuh dans un communiqué posté sur Medium. Zoom est un logiciel de téléconférence bien connu, et la faille décelée pourrait affecter jusqu'à 750.000 entreprises et quatre millions de personnes qui l'utilisent.

Avec Zoom, les utilisateurs peuvent s'envoyer un simple lien en vue de démarrer une réunion à distance. Toutes les personnes qui se joignent à la réunion, activent par défaut la caméra de leur appareil. A cause du bug découvert, il serait possible de faire cliquer quelqu'un par voie d'hameçonnage ('phishing') sur un lien de conférence pour pouvoir l'espionner par vidéo interposée.

Selon Leitschuh, le bug pourrait même persister, lorsque le client Mac est supprimé. "Si vous avez un jour installé le logiciel Zoom, puis que vous l'avez supprimé, il subsiste encore et toujours un serveur web d'hébergement local sur votre machine, qui réinstallera sans trop de problèmes les clients Zoom, sans qu'il faille pour cela une interaction avec l'utilisateur", écrit-il. "La seule chose à faire est de se rendre sur la page web. La 'fonction' de réinstallation est toujours active actuellement."

Cela a comme but de permettre aux personnes de s'envoyer plus facilement un lien, qui ouvre alors la réunion de manière automatique. Et Leitschuh de faire observer qu'il s'agit là aussi d'une sérieuse lacune sécuritaire. Dans son communiqué, Leischuch propose quelques solutions possibles, dont le retrait de l'autorisation de Zoom d'activer la caméra lors de la tenue de réunions.

Leitschuh signale qu'il a prévenu Zoom du problème en mars de cette année et que l'entreprise a, dans les nonante jours qui suivirent, sorti un correctif, qui est toutefois assez aisément contournable. La nouvelle brèche n'est du reste pas encore colmatée au moment d'écrire ces lignes.

"Zoom collabore pour l'instant avec un chercheur en sécurité à propos de la fonction 'video-on-by-default'. Zoom active par défaut la caméra des utilisateurs, lorsqu'ils se connectent à une réunion. En théorie, cela pourrait certes permettre à un pirate d'inciter sa cible à ouvrir une visioconférence. Or nous n'avons à ce jour aucune indication que cela se soit déjà produit", affirme un porte-parole de Zoom à TechCrunch.