Le chercheur en sécurité Jonathan Leitschuh a signalé une importante faille dans le logiciel de vidéoconférence Zoom pour Mac. Exploitée, elle peut permettre la prise de contrôle de la webcam.
Quand Zoom est installé sur la machine, un serveur web est automatiquement configuré. Malheureusement, il accepte des « requêtes qu’un navigateur classique n’accepterait pas », selon le chercheur.
La situation s’aggrave quand on sait que désinstaller l’application ne résout pas le problème. Le serveur web reste en place et – en cas de sollicitation comme une requête de connexion pour un appel – réinstalle promptement et silencieusement le client.
Il suffit donc d’envoyer à une cible un lien qui, s’il est cliqué, lance un appel automatiquement repris par le serveur web. Que vous ayez l’application ou qu’elle ait été désinstallée aboutit au même résultat, la vidéoconférence se lance sans confirmation nécessaire.
Les détails de la faille ont été communiqués à Zoom en mars. La brèche a en partie été colmatée, mais une régression dans une nouvelle version l’a rendue à nouveau opérante. À peine corrigée, le chercheur a déjà trouvé un contournement. En clair, rien n’est réglé.
En attendant que l’éditeur se charge sérieusement du problème, Leitschuh conseille de paramétrer Zoom pour qu’il n’active jamais la vidéo dès l’établissement d’une communication. Il fournit en outre une liste de commandes à réaliser dans le Terminal de macOS pour se débarrasser du serveur web.
Le chercheur fustige également les capacités de mise à jour automatique de Zoom, qu’il juge loin d’être à la hauteur. Il faudra donc penser à vérifier soi-même l’arrivée de nouvelles versions.
