Les failles de sécurité de Zoom : votre webcam activée à votre insu
Le logiciel de visioconférence Zoom présente des vulnérabilités dépassant le simple problème d’un serveur Web caché sur Mac. Sous Windows, il est également possible que des sites web commencent à vous filmer à votre insu. Un simple clic sur un lien peut suffire à déclencher cet enregistrement, une faille de sécurité qui n’épargne pas non plus les utilisateurs de Mac.
Contrairement aux premières informations qui laissaient penser que les problèmes de Zoom étaient limités à macOS, il s’avère que Windows est également concerné. Si l’application Zoom est configurée pour activer votre caméra par défaut lors des réunions, n’importe qui peut intégrer un lien Zoom dans une page web et initier immédiatement un enregistrement. Cette vulnérabilité affecte aussi bien les utilisateurs Windows que Mac.
Zoom affirme n’avoir « aucune indication que cela se soit déjà produit » à ce jour. L’entreprise considère cette fonctionnalité comme normale, arguant que vous avez donné votre autorisation si votre client Zoom est configuré pour activer automatiquement votre webcam lorsque vous rejoignez une réunion.
Jonathan Leitschuh a mis en ligne un site web de démonstration qui met en lumière cette vulnérabilité. Si l’application Zoom est installée et que vous visitez ce site, Zoom se lance, rejoint automatiquement une réunion et commence à enregistrer via votre webcam. Sous macOS, ce comportement est constaté même si vous avez désinstallé Zoom, car un serveur Web caché persiste. Sur Windows, Zoom se lancera si l’application est installée.
Initialement, l’alerte de Jonathan Leitschuh laissait croire à un problème exclusif à macOS. Cependant, il a précisé le contraire sur Twitter :
⚠️ WINDOWS AND MAC USERS ⚠️
If you ever checked this box on any browser other than safari, you are also vulnerable. pic.twitter.com/FbG2efEe0R— Jonathan Leitschuh (@JLLeitschuh) 9 juillet 2019
Nous avons testé cette faille en installant Zoom et en visitant le site de démonstration via Google Chrome.
Lors de la première visite, une demande d’ouverture de l’application Zoom apparaît, si elle n’est pas déjà installée. Cocher la case « Toujours ouvrir ces types de liens dans l’application associée » peut conduire à des problèmes. Or, la plupart des utilisateurs cocheraient cette case afin d’éviter les clics supplémentaires à l’avenir.
Lors des visites ultérieures, Zoom s’ouvre automatiquement, rejoint la réunion et active notre webcam, sans aucune demande de validation de notre part. En l’absence d’interaction de votre part, des sites malveillants pourraient vous enregistrer à votre insu dès que Zoom est installé.
La fenêtre Zoom est visible et confirme l’enregistrement en cours. Un site malveillant peut donc vous filmer avant même que vous n’ayez le temps d’interrompre la visioconférence.
Il s’agit d’une faille de sécurité majeure. Nous vous conseillons de désinstaller Zoom si vous ne l’utilisez pas fréquemment. Si vous avez besoin de l’utiliser, vous pouvez activer l’option « Désactiver ma vidéo lors de la participation à la réunion » dans l’onglet « Vidéo » des paramètres de Zoom, pour éviter ce type de problème.
Sur macOS, n’oubliez pas de vérifier et désinstaller le serveur Web caché également.
Malheureusement, la réponse officielle de Zoom face à cette situation laisse entendre que l’entreprise considère ceci comme une fonctionnalité et non un problème. Il est à espérer que Zoom prendra rapidement conscience de la gravité de la situation et apportera des corrections.