Nouvelle faille de sécurité chez Zoom

Des chercheurs travaillant pour une entreprise appelée Bleeping Computer ont mis au jour une nouvelle faille de sécurité au sein de l’application de vidéoconférence Zoom, dont la popularité et l’utilisation ont fortement augmenté depuis que des centaines de millions de personnes ont été confinées à leur domicile, dans le contexte de la pandémie de COVID-19. Cette nouvelle vulnérabilité permettrait à un pirate de mettre la main sur le mot de passe des utilisateurs.

L’utilisation de Zoom est simple: les internautes peuvent se connecter à une vidéoconférence, y compris pour échanger, mais aussi pour transférer des documents, à l’image d’une rencontre en face à face dans une salle de conférence. Il semble cependant que des personnes mal intentionnées peuvent aussi se servir de cet outil pour dérober des mots de passe permettant de se connecter à un système d’exploitation Windows, ou encore à des programmes et des données stockées sur des serveurs distants.

La faille en question implique, pour les participants à une réunion, de cliquer sur un lien partagé par une autre personne se trouvant dans la même vidéoconférence. Une fois le lien activé, cela transmet les informations de connexion à la personne qui a transmis le lien. Cette personne peut ensuite utiliser ces informations pour accéder à l’ordinateur de l’internaute piégé, affirment les chercheurs.

Au dire du chercheur en sécurité Matthew Hickey, cette attaque peut aussi faire en sorte que les pirates peuvent lancer des programmes sur l’ordinateur des victimes. Plus spécifiquement encore, lorsqu’un internaute clique sur le lien, Windows tente de se connecter à un site externe à l’aide du protocole de partage de fichiers SMB et ouvre un fichier spécifié dans le lien. Une telle attaque est appelée « injection de chemin d’accès UNC », et fonctionne en raison du fait que Windows ne chiffre pas les noms d’utilisateur et les mots de passe des usagers lorsqu’il tente d’accéder à un serveur distant. Le mot de passe est protégé, oui, mais comme l’ont mentionné plusieurs utilisateurs de Twitter, il existe plusieurs applications tierces permettant de casser cette protection.

Chez Zoom, on serait en train de travailler pour mettre au point un correctif, alors que des dirigeants de l’entreprise ont fait savoir que les utilisateurs pouvaient régler ce problème en modifiant certains paramètres de Windows, soit en désactivant la transmission automatique des identifiants lors d’une connexion à un serveur distant.

Cette nouvelle tuile survient alors que Zoom a déjà été carrément interdit chez SpaceX, ainsi qu’à la NASA, en raison d’autres failles de sécurité. Il a également été dévoilé, plus tôt cette semaine, qu’une personne pouvait s’inviter dans une conférence lorsque celle-ci était annoncée publiquement sur les serveurs du logiciel, comme cela est le cas pour la majorité des vidéoconférences.