Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Faille dans l'application de vidéoconférence Zoom pour Mac, la webcam piratableCrédits : weerapatkiatdumrong/iStock

Le chercheur en sécurité Jonathan Leitschuh a signalé une importante faille dans le logiciel de vidéoconférence Zoom pour Mac. Exploitée, elle peut permettre la prise de contrôle de la webcam.

Quand Zoom est installé sur la machine, un serveur web est automatiquement configuré. Malheureusement, il accepte des « requêtes qu’un navigateur classique n’accepterait pas », selon le chercheur.

La situation s’aggrave quand on sait que désinstaller l’application ne résout pas le problème. Le serveur web reste en place et – en cas de sollicitation comme une requête de connexion pour un appel – réinstalle promptement et silencieusement le client.

Il suffit donc d’envoyer à une cible un lien qui, s’il est cliqué, lance un appel automatiquement repris par le serveur web. Que vous ayez l’application ou qu’elle ait été désinstallée aboutit au même résultat, la vidéoconférence se lance sans confirmation nécessaire.

Les détails de la faille ont été communiqués à Zoom en mars. La brèche a en partie été colmatée, mais une régression dans une nouvelle version l’a rendue à nouveau opérante. À peine corrigée, le chercheur a déjà trouvé un contournement. En clair, rien n’est réglé.

En attendant que l’éditeur se charge sérieusement du problème, Leitschuh conseille de paramétrer Zoom pour qu’il n’active jamais la vidéo dès l’établissement d’une communication. Il fournit en outre une liste de commandes à réaliser dans le Terminal de macOS pour se débarrasser du serveur web.

Le chercheur fustige également les capacités de mise à jour automatique de Zoom, qu’il juge loin d’être à la hauteur. Il faudra donc penser à vérifier soi-même l’arrivée de nouvelles versions.

0 commentaire
Il n'est plus possible de commenter cette actualité.