Serveur d'impression

Zoom sur les problèmes de confidentialité et de sécurité: voici tout ce qui ne va pas (jusqu'à présent) – Bien choisir son serveur d impression

Le 25 avril 2020 - 41 minutes de lecture

Utilisez-vous déjà Zoom? En Amérique, tous ceux qui ont été forcés de travailler ou de faire leurs devoirs pendant le verrouillage du coronavirus semblent utiliser la plate-forme de vidéoconférence pour des réunions, des cours et même des rassemblements sociaux.

Il y a de bonnes raisons pour lesquelles Zoom a décollé et d'autres plates-formes non. Zoom est facile à configurer, à utiliser et permet à jusqu'à 100 personnes de rejoindre une réunion gratuitement. Ça marche juste.

Mais il y a un inconvénient. La facilité d'utilisation de Zoom a permis aux fauteurs de troubles de "bombarder" les réunions Zoom ouvertes. Les professionnels de la sécurité de l'information affirment que la sécurité de Zoom a laissé beaucoup de trous ouverts. Ces trous sont rapidement corrigés, mais de nouveaux continuent d'apparaître.

La politique de confidentialité de Zoom a également fait l'objet d'un examen approfondi, qui, jusqu'à récemment, semblait donner à Zoom le droit de faire ce qu'il jugeait bon avec les données personnelles de tout utilisateur, et ses politiques de cryptage, qui étaient plus qu'un peu trompeuses.

Cela a créé un jeu contre Zoom. Le 6 avril, Les écoles publiques de New York ont ​​décidé d'interdire les réunions Zoom, et d'autres systèmes scolaires ont fait de même, bien que Singapour semble maintenant renverser son interdiction de Zoom pour l'enseignement à distance.

Avec cette tonne de problèmes, les gens recherchent d'autres options, alors consultez notre confrontation Skype vs Zoom pour voir comment une ancienne application vidéo s'est adaptée à la vidéoconférence. Nous avons également comparé Zoom et Google Hangouts.

Le zoom est toujours sûr à utiliser dans la plupart des cas

Est-ce que tout cela signifie que Zoom n'est pas sûr à utiliser? Non.

À moins que vous ne parliez de secrets d'État ou d'entreprise, ou que vous ne divulguiez des informations personnelles sur la santé à un patient, Zoom devrait convenir.

Mais nous avons des conseils. Tout d'abord, il peut être plus sûr de rejoindre une réunion Zoom via votre navigateur Web plutôt que d'utiliser le logiciel de bureau Zoom pour Windows, Mac ou Linux.

Au cours du mois dernier, Zoom a constamment déployé de nouvelles améliorations de sécurité en permanence dans sa version. Mais il a retenu ces mêmes correctifs pour les clients de bureau jusqu'à la version 5.0, prévue pour le 26 avril.

Zoom voudrait que vous pensiez que le logiciel Zoom est nécessaire pour rejoindre une réunion Zoom. Ça ne l'est pas. Vous n'avez pas besoin d'installer quoi que ce soit pour utiliser Zoom.

Lorsque vous cliquez sur un lien pour rejoindre une réunion, votre navigateur ouvre un nouvel onglet et vous serez invité à utiliser le logiciel de bureau Zoom. Mais en dessous, en petits caractères, il y a un lien pour «rejoindre à partir de votre navigateur». Cliquez à la place.

Deuxièmement, si vous organisez une réunion Zoom, demandez aux participants à la réunion de se connecter avec un mot de passe.

Pour les cours d'école, les réunions après le travail ou même les réunions sur le lieu de travail qui se limitent aux affaires courantes, il n'y a pas beaucoup de risques à utiliser Zoom. Les enfants continueront probablement d'y affluer, car ils peuvent même utiliser des filtres Snapchat sur Zoom.

Vous devez juste être conscient que le logiciel Zoom crée une énorme "surface d'attaque", comme les professionnels de la sécurité aiment à le dire, et que les pirates vont essayer d'y arriver de toutes les manières possibles. Ils enregistrent déjà de nombreux domaines bidon liés à Zoom et développent des logiciels malveillants sur le thème de Zoom.

L'avantage est que si beaucoup de défauts dans Zoom sont trouvés maintenant et corrigés bientôt, alors Zoom sera le meilleur – et le plus sûr – pour cela.

"Zoom sera bientôt l'outil de conférence le plus sûr du monde", a écrit la journaliste technique Kim Zetter sur Twitter le 1er avril. "Mais dommage qu'ils ne se soient pas épargnés un peu de peine et se soient livrés à leurs propres évaluations de sécurité pour éviter ce procès en Feu."

Engagements de zoom pour corriger les défauts

Dans un article de blog publié le 1er avril, le PDG et fondateur de Zoom, Eric S. Yuan, a reconnu les difficultés croissantes de Zoom et a promis que le développement régulier de la plate-forme Zoom serait suspendu pendant que la société s'efforçait de résoudre les problèmes de sécurité et de confidentialité.

"Nous reconnaissons que nous n'avons pas répondu aux attentes de la communauté – et aux nôtres – en matière de confidentialité et de sécurité", a écrit Yuan, expliquant que Zoom avait été développé pour les grandes entreprises avec des informaticiens internes capables de configurer et d'exécuter le logiciel. .

"Nous avons maintenant un ensemble d'utilisateurs beaucoup plus large qui utilise notre produit d'une myriade de façons inattendues, nous présentant des défis que nous n'avions pas anticipés lorsque la plate-forme a été conçue", a-t-il déclaré. «Ces nouveaux cas d'utilisation, principalement destinés aux consommateurs, nous ont aidés à découvrir des problèmes imprévus avec notre plate-forme. Des journalistes et des chercheurs spécialisés dans la sécurité ont également aidé à identifier les problèmes préexistants.»

Pour faire face à ces problèmes, écrit Yuan, Zoom "adopterait un gel des fonctionnalités, de manière efficace immédiatement, et déplacerait toutes nos ressources d'ingénierie pour se concentrer sur nos plus grands problèmes de confiance, de sécurité et de confidentialité".

Entre autres choses, Zoom mènerait également "un examen complet avec des experts tiers et des utilisateurs représentatifs pour comprendre et assurer la sécurité de tous nos nouveaux cas d'utilisation grand public".

Zoom requiert désormais des mots de passe par défaut pour la plupart des réunions Zoom, bien que les hôtes de réunions puissent désactiver cette fonctionnalité. Les mots de passe sont le moyen le plus simple d'arrêter les bombardements Zoom.

Et le 8 avril, l'ancien responsable de la sécurité de Facebook et Yahoo, Alex Stamos, a déclaré qu'il travaillerait avec Zoom pour améliorer sa sécurité et sa confidentialité. Stamos est maintenant professeur auxiliaire à Stanford et jouit d'une excellente réputation au sein de la communauté de la sécurité de l'information.

Tout ce qui s'est mal passé avec Zoom ces derniers temps

Pour nous garder (et vous) en bonne santé, nous mettons les problèmes de confidentialité et de sécurité Zoom les plus récents en haut et séparons les problèmes entre ceux qui sont ouverts ou non résolus, ceux qui ont été résolus et ceux qui ne rentrent dans aucune des deux catégories. .

Le dernier: vendredi 24 avril

Le lovefest de Wall Street avec Zoom continue. Les actions de la société ont de nouveau augmenté vendredi après que la bourse NASDAQ a annoncé que Zoom rejoindrait l'indice NASDAQ 100 jeudi 30 avril prochain.

Il n'y a peut-être pas une seule entreprise qui ait davantage profité des ordonnances de séjour à domicile État par État pendant la crise des coronavirus. Il est difficile d'imaginer que Zoom rejoindrait le NASDAQ 100 si son trafic quotidien n'avait pas grimpé de 10 millions d'utilisateurs en décembre à 200 millions en mars, au début de la crise, et à 300 millions à la mi-avril.

Jeudi 23 avril

Malgré toutes les mauvaises nouvelles concernant Zoom, le cours de l'action de la société a bondi jeudi, gagnant 9% après l'annonce que le nombre d'utilisateurs quotidiens était passé à 300 millions.

Pour mettre cela en perspective, l'utilisation quotidienne a culminé à 200 millions de personnes par jour en mars, a annoncé la société le 1er avril. En décembre 2019, l'utilisation de Zoom a culminé à 10 millions d'utilisateurs quotidiens.

Mercredi 22 avril

Dans une annonce de presse ou un article de blog quelque peu trompeur, Zoom a annoncé l'arrivée de son logiciel de bureau mis à jour pour Windows, Mac et Linux, version 5.0.

La nouvelle version comprendra de nombreux correctifs de sécurité que nous avons vus au cours des dernières semaines pour l'interface Web Zoom.

Ceux-ci incluent la possibilité de repousser les bombardiers Zoom des réunions, d'utiliser des contrôles de routage pour s'assurer que les réunions ne passent pas par la Chine et que tout le monde en attente d'une réunion est gardé dans une "salle d'attente". Il ajoute également une icône de sécurité à l'écran de l'hôte et ajoute un meilleur cryptage aux flux vidéo des réunions Zoom.

Mais même si l'annonce Zoom impliquait que la mise à jour est disponible maintenant, elle n'est pas sur la page de téléchargement de Zoom. Nous avons donc vérifié les journaux des modifications de Zoom et découvert que la mise à jour ne serait pas disponible avant le dimanche 26 avril.

Raclage d'informations avec un faux logiciel client Zoom

Les chercheurs de Cisco Talos ont révélé que la fonction de chat de réunion de Zoom avait rendu trop facile pour les étrangers de générer des listes de tous les utilisateurs de Zoom dans une organisation particulière.

Tant que vous avez un compte utilisateur Zoom valide, Cisco Talos a expliqué dans un article de blog, vous pouvez prétendre que vous avez travaillé dans n'importe quelle organisation – disons Acme General Enterprises – et obtenir les noms complets et les ID de discussion de chaque utilisateur Zoom enregistré dont l'adresse e-mail se terminait par acme.com.

Vous n'auriez pas à vérifier que vous avez travaillé chez Acme General Enterprises et vous n'auriez pas besoin de participer à une réunion Zoom hébergée par Acme General Enterprises pour obtenir les informations.

Ces informations "pourraient être exploitées pour divulguer d'autres informations de contact, y compris l'adresse e-mail de l'utilisateur, le numéro de téléphone et toute autre information présente dans sa vCard" ou une carte de visite numérique, a écrit Cisco Talos.

"Cette vulnérabilité pourrait être exploitée par une attaque de hameçonnage contre des individus connus d'une organisation afin de vider les adresses e-mail de tous les utilisateurs de Zoom au sein de l'organisation", a déclaré le poste de Cisco Talos. "Les utilisateurs qui ont récemment dû installer un nouveau logiciel pour configurer le travail à distance peuvent être particulièrement sensibles aux e-mails conçus par des réseaux sociaux qui prétendent demander aux utilisateurs d'installer un" client Zoom "de cheval de Troie nouveau ou mis à jour."

Heureusement, Zoom a résolu ce problème, qui résidait entièrement du côté serveur.

STATUT: Fixé.

Mardi 21 avril

Dans un article de blog du 20 avril, Zoom a déclaré que l'option d'exclure certains pays du routage des appels était désormais en ligne. Cela permettra aux administrateurs de réunions Zoom d'éviter que les données de réunion soient acheminées via des serveurs Zoom en Chine, aux États-Unis ou dans sept autres régions et pays.

Les nouvelles mises à jour de la plate-forme Zoom pour l'interface Web lancées le 19 avril incluent le masquage de certaines informations personnelles des participants, telles que les adresses e-mail ou les numéros de téléphone, lors des réunions. Un autre changement est que les utilisateurs qui partagent le même domaine de messagerie ne pourront plus se rechercher les uns les autres par leur nom.

Lundi 20 avril

Le New York Times a rapporté que les dirigeants de Dropbox étaient tellement préoccupés par les failles de sécurité de Zoom qu'en 2018 Dropbox a créé son propre programme secret de bogues pour les failles de Zoom.

En d'autres termes, Dropbox paierait aux pirates les failles de sécurité qu'ils ont trouvées dans Zoom. (Les membres du personnel de Dropbox ont utilisé Zoom régulièrement et Dropbox était un investisseur dans Zoom.) Le Times a rapporté que Dropbox confirmerait les défauts, puis les transmettrait à Zoom afin que Zoom puisse les corriger.

Vendredi 17 avril

Les enregistrements de réunions Zoom sont faciles à trouver en ligne, partie 2

Les enregistrements vidéo des réunions Zoom enregistrés sur les serveurs cloud de Zoom peuvent être facilement découverts et souvent visualisés, a déclaré un chercheur en sécurité à Cnet.

Phil Guimond a remarqué que les enregistrements en ligne des réunions Zoom ont une structure URL prévisible et sont donc faciles à trouver. (Le Washington Post a signalé la semaine dernière un problème similaire avec les enregistrements Zoom qui avaient été téléchargés par les utilisateurs sur des serveurs cloud tiers. Dans ces cas, les noms de fichier des enregistrements de réunion suivaient un modèle prévisible.)

Jusqu'à ce que Zoom publie une série de mises à jour mardi dernier, les enregistrements de réunions Zoom n'étaient pas tenus d'être protégés par mot de passe.

Guimond a créé un outil simple qui recherche automatiquement les enregistrements de réunions Zoom et essaie de les ouvrir.

Si une réunion a un mot de passe, son outil essaie d'accéder par force brute en parcourant des millions de mots de passe possibles. Si un enregistrement de réunion est visible, il en est de même pour l'ID de réunion Zoom, et l'attaquant pourrait être en mesure d'accéder à de futures réunions récurrentes.

Pour vaincre l'outil automatisé de Guimond, Zoom a ajouté un défi Captcha, qui oblige le futur observateur d'enregistrement de réunion à prouver qu'il est un humain. Mais, a déclaré Guimond, le modèle d'URL est toujours le même, et les attaquants pourraient toujours essayer d'ouvrir manuellement chaque résultat généré.

STATUT: Atténué avec des obstacles supplémentaires contre l'attaque, mais pas vraiment fixe.

Jeudi 16 avril

Zoom a annoncé qu'il embauchait Luta Security, une société de conseil dirigée par Katie Moussouris, pour réorganiser le programme "bug bounty" de Zoom, qui paie les pirates informatiques pour trouver des failles logicielles.

Moussouris a mis en place les premiers programmes de bug-bounty chez Microsoft et au Pentagone. Dans son propre article de blog, elle a annoncé que Zoom faisait appel à d'autres entreprises et chercheurs réputés dans le domaine de la sécurité de l'information pour améliorer sa sécurité.

Dans son webinaire hebdomadaire, selon ZDNet, Zoom a également déclaré qu'il laisserait également les hôtes de la réunion signaler les utilisateurs abusifs, et le consultant en sécurité nouvellement embauché Alex Stamos a déclaré que Zoom passerait à une norme de cryptage plus robuste après que le cryptage existant de Zoom aurait été manquant.

Dans d'autres nouvelles, un membre du Congrès s'est plaint qu'un briefing du Congrès sur Zoom le 3 avril a été "bombardé par un zoom" au moins trois fois.

Mercredi 15 avril

Le responsable de Standard Chartered, une banque multinationale basée à Londres, a mis en garde les employés contre l'utilisation de Zoom ou de Google Hangouts pour des réunions à distance, invoquant des problèmes de sécurité, selon Reuters.

Standard Chartered utilise principalement la plate-forme rivale de vidéoconférence Blue Jeans, selon deux employés de banque qui ont parlé de manière anonyme.

L'année dernière, Standard Chartered a accepté de payer 1,1 milliard de dollars aux régulateurs britannique et américain après avoir admis que la banque avait violé les sanctions commerciales contre l'Iran.

Zoom sur les exploits du jour zéro en vente pour 500 000 $

Les pirates informatiques proposent apparemment de vendre deux exploits "zero-day" dans Zoom au plus offrant, rapporte Vice.

Les Zero-Days sont des hacks qui exploitent des vulnérabilités que le créateur de logiciel ne connaît pas et contre lesquelles les utilisateurs ont peu ou pas de défense.

Des sources qui ont raconté à Vice le jour zéro ont déclaré qu'un exploit est pour Windows et permet à un attaquant distant d'obtenir le contrôle total de l'ordinateur d'une cible. Le hic, c'est que l'attaquant et la cible doivent être sur le même appel Zoom. Son prix demandé est de 500 000 $.

"Je pense que ce ne sont que des enfants qui espèrent faire une frange", a déclaré une source anonyme à Vice.

L'autre jour zéro serait pour macOS et serait moins sérieux.

STATUT: Apparemment non fixé.

Mardi 14 avril

Zoom a annoncé le 13 avril que les utilisateurs de comptes Zoom payés pourraient choisir par quelle région du monde leurs données seraient acheminées: Australie, Canada, Chine, Europe, Inde, Japon / Hong Kong, Amérique latine ou États-Unis.

C'est une réaction à la découverte plus tôt en avril que de nombreuses réunions Zoom organisées par des résidents américains et impliquant des résidents américains avaient été acheminées via des serveurs basés en Chine, un pays qui se réserve le droit de voir tout ce qui se passe sur un serveur situé au pays sans mandat.

Les utilisateurs du service gratuit de Zoom verront leurs données traitées uniquement par des serveurs de leur région.

STATUT: Cette option est désormais disponible pour les utilisateurs de Zoom payants qui utilisent l'interface Web plutôt que le logiciel de bureau. Le logiciel de bureau Zoom pour Windows, Mac et Linux sera disponible le 26 avril.

Problèmes ouverts / non résolus

Plus de 500 000 zooms à gagner

Les noms d'utilisateur et les mots de passe de plus de 500 000 comptes Zoom sont vendus ou donnés sur des marchés criminels.

Ces comptes n'ont pas été compromis à la suite d'une violation de données Zoom, mais plutôt par bourrage d'informations d'identification. C'est à ce moment-là que les criminels tentent de déverrouiller des comptes en réutilisant les informations d'identification de comptes compromis lors de précédentes violations de données. Cela ne fonctionne que si un titulaire de compte utilise le même mot de passe pour plusieurs comptes.

STATUT: Inconnu, mais ce n'est pas la faute de Zoom.

2 300 ensembles d'informations d'identification de connexion Zoom trouvés en ligne

Des chercheurs d'IngSights ont découvert un ensemble de 2 300 identifiants de connexion Zoom partagés sur un forum criminel en ligne.

"Mis à part les comptes personnels, il y avait de nombreux comptes d'entreprise appartenant à des banques, des sociétés de conseil, des établissements d'enseignement, des prestataires de soins de santé et des fournisseurs de logiciels, entre autres", a écrit Etay Maor d'IntSight dans un article de blog le 10 avril.

"Alors que certains des comptes ne comprenaient" que "un e-mail et un mot de passe, d'autres incluaient des identifiants de réunion, des noms et des clés d'hôte", a écrit Maor.

Maor a déclaré à Threatpost qu'il ne semblait pas que les informations d'identification provenaient d'une violation de données Zoom, compte tenu de leur nombre relativement faible. Il a théorisé qu'ils provenaient de "petites listes et bases de données tenues par d'autres sociétés / agences".

Il est également possible que certaines des informations d'identification soient le résultat d'un "bourrage d'informations d'identification". C'est le processus (largement) automatisé par lequel les criminels essaient de se connecter à des sites Web en parcourant les adresses e-mail et les mots de passe probables, puis récoltent tout ce qui donne un résultat positif.

STATUT: Inconnue. Ce n'est probablement pas un problème de Zoom en soi.

Zoom sur les exploits «zero-day»

Les chercheurs en sécurité de l'information connaissent plusieurs exploits de Zoom "zero-day", selon Vice. Les jours zéro sont des exploits pour les vulnérabilités logicielles que le fabricant de logiciels ne connaît pas et n'a pas corrigés, et dispose donc de "jours zéro" pour se préparer avant que les exploits n'apparaissent.

Cependant, une source Vice a laissé entendre que d'autres solutions de vidéoconférence présentaient également des failles de sécurité. Une autre source a déclaré que Zoom Zero-Days ne se vendait pas beaucoup en raison du manque de demande.

STATUT: Non résolu jusqu'à ce que certains de ces défauts apparaissent.

Zoom sur les comptes compromis négociés en ligne

Les criminels négocient des comptes Zoom compromis sur le "dark web", a rapporté Yahoo News.

Ces informations proviennent apparemment de la firme israélienne de cybersécurité Sixgill, spécialisée dans la surveillance des activités criminelles clandestines en ligne. Nous n'avons pu trouver aucune mention des résultats sur le site Web de Sixgill.

Sixgill a déclaré à Yahoo qu'il avait repéré 352 comptes Zoom compromis qui comprenaient des ID de réunion, des adresses e-mail, des mots de passe et des clés d'hôte. Certains des comptes appartenaient à des écoles, et un à une petite entreprise et à un grand fournisseur de soins de santé, mais la plupart étaient personnels.

STATUT: Pas vraiment un bug, mais ça vaut vraiment la peine de s'inquiéter. Si vous avez un compte Zoom, assurez-vous que son mot de passe n'est pas le même que celui de tout autre compte que vous possédez.

Programme d'installation de Zoom fourni avec des logiciels malveillants

Les chercheurs de Trend Micro ont découvert une version du programme d'installation de Zoom qui a été fournie avec un logiciel malveillant d'extraction de crypto-monnaie, c'est-à-dire un mineur de pièces.

Le programme d'installation de Zoom mettra Zoom version 4.4.0.0 sur votre PC Windows, mais il est livré avec un mineur de pièces auquel Trend Micro a donné le nom accrocheur Trojan.Win32.MOOZ.THCCABO. (Soit dit en passant, le dernier logiciel client Zoom pour Windows est jusqu'à la version 4.6.9, et vous ne devriez l'obtenir qu'à partir d'ici.)

Le monnayeur accélérera l'unité centrale de traitement de votre PC, et sa carte graphique s'il y en a une, pour résoudre des problèmes mathématiques afin de générer de nouvelles unités de crypto-monnaie. Vous le remarquerez si vos fans accélèrent soudainement ou si le Gestionnaire des tâches de Windows (appuyez sur Ctrl + Maj + Échap) montre une utilisation CPU / GPU inattendue.

Pour éviter d'être touché par ce logiciel malveillant, assurez-vous que vous exécutez l'un des meilleurs programmes antivirus et ne cliquez sur aucun lien dans les e-mails, les publications sur les réseaux sociaux ou les messages contextuels qui promettent d'installer Zoom sur votre ordinateur.

STATUT: Ouvrez, mais ce n'est pas le problème de Zoom à résoudre. Il ne peut pas empêcher d'autres personnes de copier et de redistribuer son logiciel d'installation.

Le chiffrement du zoom n'est pas ce qu'il est censé être

Non seulement Zoom induit les utilisateurs en erreur sur son "cryptage de bout en bout" (voir ci-dessous), mais il semble être catégorique, euh, ne disant pas la vérité sur la qualité de son algorithme de cryptage.

Zoom dit qu'il utilise le cryptage AES-256 pour coder les données vidéo et audio transitant entre les serveurs Zoom et les clients Zoom (c'est-à-dire vous et moi). Mais des chercheurs du Citizen Lab de l'Université de Toronto, dans un rapport publié le 3 avril, ont constaté que Zoom utilise en fait l'algorithme AES-128 un peu plus faible.

Pire encore, Zoom utilise une implémentation en interne d'un algorithme de chiffrement qui préserve les modèles du fichier d'origine. C'est comme si quelqu'un dessinait un cercle rouge sur un mur gris, puis une censure peinte sur le cercle rouge avec un cercle tout en. Vous ne voyez pas le message d'origine, mais la forme est toujours là.

"Nous déconseillons l'utilisation de Zoom en ce moment pour les cas d'utilisation qui nécessitent une grande intimité et confidentialité", selon le rapport du Citizen Lab, "les gouvernements s'inquiètent de l'espionnage, les entreprises préoccupées par la cybercriminalité et l'espionnage industriel, les prestataires de soins de santé manipulant des informations sensibles sur les patients" et "des militants, des avocats et des journalistes travaillant sur des sujets sensibles".

STATUT: Non résolu. Dans un article de blog publié le 3 avril, le PDG de Zoom, Eric S. Yuan, a reconnu le problème de cryptage, mais a déclaré seulement que "nous reconnaissons que nous pouvons faire mieux avec notre conception de cryptage" et "nous espérons avoir plus à partager sur ce front dans les prochains jours. . "

Dans l'annonce par Zoom de la prochaine mise à jour du logiciel de bureau du 26 avril, Zoom a déclaré qu'il mettrait à niveau l'implémentation du cryptage vers un meilleur format pour tous les utilisateurs d'ici le 30 mai.

Le logiciel de zoom peut être facilement corrompu

Un bon logiciel a des mécanismes anti-altération intégrés pour s'assurer que les applications n'exécutent pas du code qui a été modifié par un tiers.

Zoom a de tels mécanismes anti-altération en place, ce qui est bien. Mais ces mécanismes anti-falsification eux-mêmes ne sont pas protégés contre la falsification, a déclaré un étudiant en informatique britannique qui se fait appeler "Lloyd" dans un article de blog le 3 avril.

Inutile de dire que c'est mauvais. Lloyd a montré comment le mécanisme anti-altération de Zoom peut facilement être désactivé, ou même remplacé par une version malveillante qui détourne l'application.

Si vous lisez ceci avec une connaissance pratique du fonctionnement des logiciels Windows, ceci est un passage assez accablant: "Cette DLL peut être déchargée de manière triviale, rendant le mécanisme anti-falsification nul et non avenu. La DLL n'est pas épinglée, ce qui signifie un attaquant à partir d'un processus tiers pourrait simplement injecter un thread distant. "

En d'autres termes, les logiciels malveillants déjà présents sur un ordinateur pourraient utiliser le propre mécanisme anti-altération de Zoom pour altérer Zoom. Les criminels pourraient également créer des versions pleinement opérationnelles de Zoom qui ont été modifiées pour effectuer des actes malveillants.

STATUT: Non résolu.

Bombardement par zoom

N'importe qui peut «bombarder» une réunion Zoom publique s'il connaît le numéro de la réunion, puis utiliser la photo de partage de fichiers pour publier des images choquantes ou émettre des sons gênants dans l'audio. Le FBI l'a même prévenu il y a quelques jours.

L'hôte de la réunion Zoom peut désactiver ou même éliminer les fauteurs de troubles, mais ils peuvent revenir avec de nouveaux identifiants utilisateur. La meilleure façon d'éviter les bombardements Zoom est de ne partager les numéros de réunion Zoom avec personne, sauf les participants prévus. Vous pouvez également demander aux participants d'utiliser un mot de passe pour se connecter à la réunion.

Le 3 avril, le bureau du procureur américain pour le district oriental du Michigan a déclaré que "quiconque pirate une téléconférence peut être accusé de crimes d'État ou fédéraux". Il n'est pas clair si cela s'applique uniquement à l'est du Michigan.

STATUT: Il existe des moyens simples d'éviter le bombardement Zoom, que nous examinons ici.

Fuites d'adresses e-mail et de photos de profil

Zoom place automatiquement tout le monde partageant le même domaine de messagerie dans un dossier "entreprise" où ils peuvent voir les informations de chacun.

Des exceptions sont faites pour les personnes utilisant de gros clients de messagerie Web tels que Gmail, Yahoo, Hotmail ou Outlook.com, mais pas apparemment pour les petits fournisseurs de messagerie Web que Zoom pourrait ne pas connaître.

Plusieurs utilisateurs de Dutch Zoom qui utilisent des adresses e-mail fournies par des FAI ont soudainement découvert qu'ils étaient dans la même "entreprise" avec des dizaines d'étrangers – et pouvaient voir leurs adresses e-mail, noms d'utilisateur et photos d'utilisateur.

STATUT: Non résolu, mais une mise à jour du logiciel Zoom du 19 avril pour les utilisateurs de l'interface Web de Zoom garantit que les utilisateurs du même domaine de messagerie ne peuvent plus se rechercher automatiquement par leur nom. Le logiciel client de bureau Zoom recevra des correctifs similaires le 26 avril.

Partage des données personnelles avec les annonceurs

Plusieurs experts de la confidentialité, certains travaillant pour Consumer Reports, se sont penchés sur la politique de confidentialité de Zoom et ont constaté qu'elle accordait apparemment à Zoom le droit d'utiliser les données personnelles des utilisateurs de Zoom et de les partager avec des spécialistes du marketing tiers.

À la suite d'un article de blog Consumer Reports, Zoom a rapidement réécrit sa politique de confidentialité, supprimant les passages les plus troublants et affirmant que "nous ne vendons pas vos données personnelles".

STATUT: Inconnue. Nous ne connaissons pas les détails des transactions commerciales de Zoom avec des annonceurs tiers.

Vous pouvez «conduire la guerre» pour trouver des réunions Zoom ouvertes

Vous pouvez trouver des réunions Zoom ouvertes en parcourant rapidement les ID de réunion Zoom possibles, a déclaré un chercheur en sécurité au blogueur indépendant Brian Krebs.

Le chercheur a dépassé le bloqueur de scan de réunion de Zoom en exécutant des requêtes via Tor, qui a randomisé son adresse IP. C'est une variante de la «conduite de guerre» en composant des numéros de téléphone au hasard pour trouver des modems ouverts les jours de connexion.

Le chercheur a déclaré à Krebs qu'il pouvait trouver environ 100 réunions Zoom ouvertes toutes les heures avec l'outil, et que "l'activation d'un mot de passe sur le [Zoom] la réunion est la seule chose qui la vainc. "

STATUT: Inconnue.

Les chats de réunion Zoom ne restent pas privés

Deux Twitter utilisateurs a souligné que si vous participez à une réunion Zoom et utilisez une fenêtre privée dans l'application de chat de la réunion pour communiquer en privé avec une autre personne dans la réunion, cette conversation sera visible dans la transcription de fin de réunion que l'hôte reçoit.

STATUT: Inconnue.

Problèmes résolus / résolus

Une faille de zoom a permis le détournement de compte

Un chercheur en sécurité kurde a déclaré que Zoom lui avait payé une prime de bogue – une récompense pour avoir trouvé une faille grave – pour avoir trouvé comment détourner un compte Zoom si l'adresse e-mail du titulaire du compte était connue ou devinée.

Le chercheur, qui se fait appeler "s3c" mais dont le vrai nom peut être Yusuf Abdulla, a déclaré que s'il tentait de se connecter à Zoom avec un compte Facebook, Zoom demanderait l'adresse e-mail associée à ce compte Facebook. Ensuite, Zoom ouvrirait une nouvelle page Web l'informant qu'un e-mail de confirmation avait été envoyé à cette adresse e-mail.

L'URL de la page Web de notification aurait une étiquette d'identification unique dans la barre d'adresse. À titre d'exemple beaucoup plus court que la réalité, disons que c'est "zoom.com/signup/123456XYZ".

Lorsque s3c a reçu et ouvert l'e-mail de confirmation envoyé par Zoom, il a cliqué sur le bouton de confirmation dans le corps du message. Cela l'a amené à une autre page Web qui a confirmé que son adresse e-mail était désormais associée à un nouveau compte. Jusqu'ici tout va bien.

Mais ensuite, s3c a remarqué que la balise d'identification unique dans l'URL de la page Web de confirmation du zoom était identique à la première balise d'identification. Prenons l'exemple "zoom.com/confirmation/123456XYZ".

Les étiquettes d'identification correspondantes, l'une utilisée avant la confirmation et l'autre après la confirmation, signifiaient que s3c aurait pu éviter de recevoir l'e-mail de confirmation et de cliquer sur le bouton de confirmation.

En fait, il aurait pu saisir N'IMPORTE QUELLE adresse e-mail – la vôtre, la mienne ou [email protected] – dans le formulaire d'inscription original. Ensuite, il aurait pu copier la balise ID de la page de notification Zoom résultante et coller la balise ID dans une page de confirmation de compte Zoom déjà existante.

Boom, il aurait accès à n'importe quel compte Zoom créé en utilisant l'adresse e-mail ciblée.

"Même si vous avez déjà lié votre compte à un compte Facebook, Zoom le dissocie automatiquement et le relie au compte Facebook de l'attaquant", écrit s3c dans son anglais imparfait.

Et parce que Zoom permet à toute personne utilisant une adresse e-mail d'entreprise de voir tous les autres utilisateurs inscrits avec le même domaine de messagerie, par exemple "company.com", s3c aurait pu utiliser cette méthode pour voler TOUS les comptes Zoom d'une entreprise donnée.

"Donc, si un attaquant crée un compte avec l'adresse e-mail [email protected] et le vérifie avec ce bogue", a écrit s3c, "l'attaquant peut afficher tous les e-mails créés avec *@companyname.com dans l'application Zoom dans les contacts de l'entreprise afin que signifie que l'attaquant peut pirater tous les comptes de l'entreprise. "

Zoom a la chance que s3c soit l'un des bons et n'a pas divulgué publiquement cette faille avant que Zoom ne puisse la corriger. Mais c'est un défaut si simple qu'il est difficile d'imaginer que personne d'autre ne l'ait remarqué auparavant.

STATUT: Fixe, Dieu merci.

Zoom supprime les ID de réunion des écrans

Zoom a publié des mises à jour pour son logiciel client de bureau Windows, macOS et Linux afin que les ID de réunion ne s'affichent pas à l'écran pendant les réunions. Le Premier ministre britannique Boris Johnson a accidentellement affiché une pièce d'identité de la réunion Zoom dans un tweet, et le cabinet belge a fait une erreur similaire.

«Vulnérabilité potentielle de sécurité» avec le partage de fichiers Zoom

Dans un webinaire "demandez-moi n'importe quoi" début avril, le PDG de Zoom, Eric S. Yuan, a déclaré que Zoom avait découvert "une vulnérabilité de sécurité potentielle avec le partage de fichiers, nous avons donc désactivé cette fonctionnalité".

Jusqu'à cette semaine, les participants à une réunion Zoom pouvaient partager des fichiers entre eux à l'aide de la fonction de chat de la réunion.

STATUT: Fixé.

Zoom sur les clés cryptographiques émises par les serveurs chinois

Ces clés de chiffrement AES128 sont délivrées aux clients Zoom par des serveurs Zoom, ce qui est bien beau, sauf que le Citizen Lab a trouvé plusieurs serveurs Zoom en Chine émettant des clés pour les utilisateurs Zoom même lorsque tous les participants à une réunion étaient en Amérique du Nord.

Étant donné que les serveurs Zoom peuvent décrypter les réunions Zoom et que les autorités chinoises peuvent obliger les opérateurs de serveurs chinois à remettre des données, cela implique que le gouvernement chinois pourrait voir vos réunions Zoom.

Cela doit être une mauvaise nouvelle pour le gouvernement britannique, qui a tenu au moins une réunion du Cabinet sur Zoom.

STATUT: Apparemment réparé. Dans un article de blog publié le 3 avril, le PDG de Zoom, Eric S. Yuan, a répondu au rapport du Citizen Lab en disant qu '"il est possible que certaines réunions aient été autorisées à se connecter à des systèmes en Chine, où ils n'auraient pas dû être en mesure de se connecter. Nous avons depuis corrigé cela. "

Faille de sécurité avec les salles d'attente de réunion Zoom

Zoom conseille aux hôtes des réunions de mettre en place des «salles d'attente» pour éviter les «bombardements Zoom». Une salle d'attente maintient essentiellement les participants en attente jusqu'à ce qu'un hôte les laisse entrer, soit en une seule fois, soit une à la fois.

Le Citizen Lab a déclaré avoir trouvé un grave problème de sécurité avec les salles d'attente Zoom et a conseillé aux hôtes et aux participants de ne pas les utiliser pour l'instant. Le Citizen Lab ne divulgue pas encore les détails, mais a informé Zoom de la faille.

"Nous conseillons aux utilisateurs de Zoom qui souhaitent la confidentialité de ne pas utiliser les salles d'attente de Zoom", a déclaré le Citizen Lab dans son rapport. "Au lieu de cela, nous encourageons les utilisateurs à utiliser la fonction de mot de passe de Zoom."

STATUT: Fixé. Dans le prolongement de leur rapport initial. les chercheurs du Citizen Lab ont révélé que les participants non invités à une réunion pouvaient néanmoins obtenir la clé de cryptage de la réunion dans la salle d'attente.

"Le 7 avril, Zoom nous a signalé avoir mis en place un correctif côté serveur pour le problème", ont expliqué les chercheurs.

Vol de mot de passe Windows

Les réunions Zoom ont des chats latéraux dans lesquels les participants peuvent envoyer des messages texte et publier des liens Web.

Mais selon l'utilisateur de Twitter @ _g0dmode et cabinet de formation anglo-américain sur la cybersécurité Hacker House, Zoom jusqu'à la fin du mois de mars n'a fait aucune distinction entre les adresses Web régulières et un autre type de lien de mise en réseau à distance appelé chemin UNC (Universal Naming Convention). Cela rendait les chats Zoom vulnérables aux attaques.

Si un bombardier Zoom malveillant glissait un chemin UNC vers un serveur distant qu'il contrôlait dans un chat de réunion Zoom, un participant involontaire pouvait cliquer dessus.

L'ordinateur Windows du participant tentera alors de contacter le serveur distant du pirate spécifié dans le chemin d'accès et tentera automatiquement de s'y connecter à l'aide du nom d'utilisateur et du mot de passe Windows de l'utilisateur.

Le pirate pourrait capturer le mot de passe "haché" et le décrypter, lui donnant accès au compte Windows de l'utilisateur Zoom.

STATUT: Le blog de Yuan dit que Zoom a maintenant résolu ce problème.

Injection de logiciels malveillants Windows

Mohamed A. Baset de la société de sécurité Seekurity a déclaré sur Twitter que le même défaut de chemin de fichier permettrait également à un pirate d'insérer un chemin UNC vers un fichier exécutable distant dans un salon de discussion Zoom.

Si un utilisateur de Zoom exécutant Windows cliquait dessus, une vidéo publiée par Baset montrait que l'ordinateur de l'utilisateur tenterait de charger et d'exécuter le logiciel. The victim would be prompted to authorize the software to run, which will stop some hacking attempts but not all.

STATUS: If the UNC filepath issue is fixed, then this should be as well.

iOS profile sharing

Until late March, Zoom sent iOS user profiles to Facebook as part of the "log in with Facebook" feature in the iPhone and iPad Zoom apps. After Vice News exposed the practice, Zoom said it hadn't been aware of the profile-sharing and updated the iOS apps to fix this.

STATUS: Fixé.

Malware-like behavior on Macs

We learned last summer that Zoom used hacker-like methods to bypass normal macOS security precautions. We thought that problem had been fixed then, along with the security flaw it created.

But a series of tweets March 30 from security researcher Felix Seele, who noticed that Zoom installed itself on his Mac without the usual user authorizations, revealed that there was still an issue.

"They (ab)use preinstallation scripts, manually unpack the app using a bundled 7zip and install it to /Applications if the current user is in the admin group (no root needed)," Seele wrote.

"The application is installed without the user giving his final consent and a highly misleading prompt is used to gain root privileges. The same tricks that are being used by macOS malware." (Seele elaborated in a more user-friendly blog post here.)

Zoom founder and CEO Eric S. Yuan tweeted a friendly response.

"To join a meeting from a Mac is not easy, that is why this method is used by Zoom and others," Yuan wrote. "Your point is well taken and we will continue to improve."

METTRE À JOUR: In a new tweet April 2, Seele said Zoom had released a new version of the Zoom client for macOS that "completely removes the questionable 'preinstall'-technique and the faked password prompt."

"I must say that I am impressed. That was a swift and comprehensive reaction. Good work, @zoom_us!" Seele added.

STATUS: Fixé.

A backdoor for Mac malware

Other people could use Zoom's dodgy Mac installation methods, renowned Mac hacker Patrick Wardle said in a blog post March 30.

Wardle demonstrated how a local attacker — such as a malicious human or already-installed malware — could use Zoom's formerly magical powers of unauthorized installation to "escalate privileges" and gain total control over the machine without knowing the administrator password.

Wardle also showed that a malicious script installed into the Zoom Mac client could give any piece of malware Zoom's webcam and microphone privileges, which do not prompt the user for authorization and could turn any Mac with Zoom installed into a potential spying device.

"This affords malware the ability to record all Zoom meetings, or simply spawn Zoom in the background to access the mic and webcam at arbitrary times," Wardle wrote.

STATUS: Yuan's blog post says Zoom has fixed these flaws.

Other issues

Phony end-to-end encryption

Zoom claims its meetings use "end-to-end encryption" if every participant calls in from a computer or a Zoom mobile app instead of over the phone. But under pressure from The Intercept, a Zoom representative admitted that Zoom's definitions of "end-to-end" and "endpoint" are not the same as everyone else's.

"When we use the phrase 'End to End'," a Zoom spokeperson told The Intercept, "it is in reference to the connection being encrypted from Zoom end point to Zoom end point."

Sound good, but the spokesperson clarified that he counted a Zoom server as an endpoint.

Every other company considers an endpoint to be a user device — a desktop, laptop, smartphone or tablet — but not a server. And every other company takes "end-to-end encryption" to mean that servers that relay messages from one endpoint to another can't decrypt the messages.

When you send an Apple Message from your iPhone to another iPhone user, Apple's servers help the message get from one place to another, but they can't read the content.

Not so with Zoom. It can see whatever is going on in its meetings, and sometimes it  may have to in order to make sure everything works properly. Just don't believe the implication that it can't.

METTRE À JOUR: In a blog post April 1, Zoom Chief Product Officer Oded Gal wrote that "we want to start by apologizing for the confusion we have caused by incorrectly suggesting that Zoom meetings were capable of using end-to-end encryption. "

"We recognize that there is a discrepancy between the commonly accepted definition of end-to-end encryption and how we were using it," he wrote.

Gal assured users that all data sent and received by Zoom client applications (but not regular phone lines, business conferencing systems or, presumably, browser interfaces) is indeed encrypted and that Zoom servers or staffers "do not decrypt it at any point before it reaches the receiving clients."

However, Gal added, "Zoom currently maintains the key management system for these systems in the cloud" but has "implemented robust and validated internal controls to prevent unauthorized access to any content that users share during meetings."

The implication is that Zoom doesn't decrypt user transmissions by choice. But because it holds the encryption keys, Zoom could if it had to, such as if it were presented with a warrant or a U.S. National Security Letter (essentially a secret warrant).

For those worried about government snooping, Gal wrote that "Zoom has never built a mechanism to decrypt live meetings for lawful intercept purposes, nor do we have means to insert our employees or others into meetings without being reflected in the participant list."

He added that companies and other enterprises would soon be able to handle their own encryption process.

"A solution will be available later this year to allow organizations to leverage Zoom’s cloud infrastructure but host the key management system within their environment."

STATUS: This is an issue of misleading advertising rather than an actual software flaw. We hope Zoom stops using the term "end-to-end encryption" incorrectly, but just keep in mind that you may not be getting the real thing with Zoom.

Zoom meeting recordings can be found online

Privacy researcher Patrick Jackson noticed that Zoom meeting recordings saved to the host's computer generally get a certain type of file name.

So he searched unprotected cloud servers to see if anyone had uploaded Zoom recordings and found more than 15,000 unprotected examples, according to The Washington Post. Jackson also found some recorded Zoom meetings on YouTube and Vimeo.

This isn't really Zoom's fault. It's up to the host to decide whether to record a meeting, and Zoom gives paying customers the option to store recordings on Zoom's own servers. It's also up to the host to decide to change the recording's file name.

If you host a Zoom meeting and decide to record it, then make sure you change the default file name after you're done.

STATUS: This is not really Zoom's problem, to be honest.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.