Sommaire :
Zoom sur les failles de sécurité de l’appli de visioconférence
Depuis le début du confinement lié à la pandémie Covid 19, l’appli de visioconférences Zoom est victime de son succès.
Plus question de se retrouver autour d’une table de réunion ou d’un apéro, place aux réunions virtuelles.
Le nombre d’utilisateurs de l’application a été multiplié par 20en 2 mois !
Ce qui en fait une cible privilégiée des pirates informatiques.
La preuve, des failles de sécurité préoccupantes font l’objet d’une polémique sur la protection des données.
Heureusement, Zoom réagit pour sécuriser les données confidentielles de ses millions d’utilisateurs chaque jour.
Zoom devient hyper populaire pendant le confinement
Quelle entreprise peut se targuer d’avoir enregistré une hausse d’utilisateurs de 10 à 200 millions d’utilisateurs en moins de 60 jours ?
C’est le record battu par Zoom, l’appli de visioconférence assaillie depuis le début du confinement.
Réunions, apéros virtuels…la demande de visioconférences a littéralement explosé.
Il faut dire que les atouts de Zoom sont séduisants :
- Facile à mettre en place: vous entrez votre mail et en 3 clics, la visioconférence est créer.ll vous reste juste à envoyer l’invitation et le mot de passe à vos invités
- Version gratuite,étendue au-delà de 40 minutes depuis le confinement
- Jusqu’à 100 personnes par visioconférence
- Possibilité d’afficher un fond d’écran personnalisé et amusant.
Présente dans le top des téléchargements d’applis Android et iOS, la société pèse 42 milliards de dollars, quasiment deux fois plus lourd qu’en janvier.
« Zoom bombing » : l’appli victime de piratage informatique
Ses détracteurs pointent des failles de sécurité sur la sécurité des données : des personnes pourraient s’introduire dans des réunions sans y être conviées.
Cible privilégiée des pirates informatiques vu les millions d’utilisateurs, Zoom a été l’objet d’une nouvelle forme d’attaque : le zoom « bombing ».
Des pirates se sont insérés dans une faille de sécurité de plusieurs jours qui affichait publiquement les codes d’accès de visioconférences mal configurés.
Des internautes ont pu s’inviter à des visioconférences privées pour extorquer des informations.
Au moins 3 failles de sécurité repérées
1/ Partage avec Facebook
Autre faiblesse : Vice révèle le 26 mars que l’appli sur iOS partage avec Facebook certaines informations de ses utilisateurs.
Dès le lendemain, Zoom supprime l’outil de transfert des données jugé subitement « non nécessaire ».
Certes, ces seules données collectéesne suffisent pas à identifier les utilisateurs, mais croisées à d’autres données, elles sont bien susceptibles de révéler votre identité.
2/ Des chiffrements en TLS et pas de bout en bout
4 jours plus tard, The Intercept révèle au grand jour une autre faille.
Zoom assure que les discussions vidéo et audio sont chiffrées de bout en bout selon le meilleur standard de sécurité (comme WhatsApp, iMessage par exemple).
En réalité, seules les discussions écrites sont chiffrées de bout en bout.
C’est le TLS que Zoom utilise comme standard de protection. Protégées en cas d’interception, les données échangées en visio sont néanmoins accessibles sur les serveurs de Zoom.
L’entreprise dément écouter ou revendre ces informations.
3/ Risque de rançongiciel
Plus difficile à mettre en place, le rançongiciel reste néanmoins une menace bel et bien réelle.
Bleeding Computer a testé un piratage sur la version Windows.
Son hacking a consisté à envoyer un lien malveillant dans le chat de la réunion.
Lorsqu’un utilisateur clique dessus, les pirates récupèrent ses identifiants envoyés par Windows par défaut.
Si les mots de passe restent illisibles, des logiciels sont en mesure de les faire sauter rapidement.
En cause le lien hypertexte que Zoom devrait ôter des liens UNC.