Zoom : l’application de visioconférence victime de failles critiques
[Mise à jour le lundi 1er avril 2020 à 18h53] Alors que Zoom enregistre un pic d’activité jamais atteint suite aux mesures de confinement et de télétravail imposés aux salariés, trois failles de sécurité critiques ont été découvertes dans l’application de visioconférence. Mise au jour par deux chercheurs en sécurité, l’une pourrait permettre à une personne malintentionnée de subtiliser le mot de passe Windows de l’utilisateur. Dévoilées par un autre hacker, les deux autres failles pourraient quant à elles servir à un pirate ayant accès physiquement au poste d’un utilisateur sous Mac d’ouvrir une connexion distante permanente en vue d’installer ensuite sur ce dernier des logiciels malveillants ou espions. Patrick Wardle, ex-chercheur en cybersécurité à la NSA, détaille ces deux failles sur son blog. Ces informations interviennent quelques jours après que Motherboard ait révélé que la déclinaison de Zoom pour iPhone et iPad renvoyait des données utilisateurs à Facebook (fuseau horaire du terminal, version de l’OS mobile, modèle et marque de l’appareil, processeur….). Dans le foulée, Zoom publiait une mise à jour avec pour objectif d’éviter tout transfert de données vers le réseau social.
Hi @zoom_us & @NCSC – here is an example of exploiting the Zoom Windows client using UNC path injection to expose credentials for use in SMBRelay attacks. The screen shot below shows an example UNC path link and the credentials being exposed (redacted). pic.twitter.com/gjWXas7TMO
— Hacker Fantastic (@hackerfantastic) March 31, 2020
Le 26 février 2020, Zoom indiquait avoir gagné 2,22 millions d’utilisateurs mensuels depuis le début de l’année, contre une hausse de 1,99 million sur l’ensemble de 2019. Une explosion qui porte le volume d’utilisateurs mensuels de la plateforme à plus de 15 millions. Et c’est pas fini. Mercredi 18 mars 2020, Zoom se hissait en tête des applications les plus téléchargées aux Etats-Unis sur l’App Store et Google Play. D’après des chiffres de Learnbonds.com, glanés à partir du service d’analytics Appfigures, la déclinaison mobile de l’outil de webconférence a vu son volume quotidien de téléchargements exploser de 1 270% entre le 22 février et le 22 mars 2020, pour atteindre un pic de 2 millions de downloads lors de cette dernière journée. Sur les trois premières semaines de la période, la version de l’application pour Android reste largement en deçà de son équivalente pour iOS (voir la courbe ci-dessous). Mais à partir du 17 mars, elle passe en tête. Le 22 mars, elle se hisse à 1,3 million de téléchargements, contre 0,7 million pour l’app iOS.
Arborant une ergonomie simple et moderne, Zoom recouvre les principaux cas d’usage de la web conférence, du chat et la réunion en ligne au séminaire digital pouvant accueillir […..]
Source:: Zoom : l’application de visioconférence victime de failles critiques
