Zoom : retour sur une accumulation de failles

La facilité n'excuse pas tout 40
Accès libre
image dediée
Crédits : mapodile/iStock
Securité
Vincent Hermann

Le nombre d'utilisateurs de Zoom a été multiplié par 20 en trois mois. Depuis, les actualités s'enchainent sur les nombreux problèmes découverts, tous liés à la sécurité et à la vie privée. Retour sur une période aussi dorée que noire pour l'entreprise, qui semble saisir désormais l'ampleur de la situation.

La plateforme de visioconférence Zoom était encore inconnue d’une bonne partie du grand public il y a peu. Beaucoup l’ont découverte avec la pandémie de Covid-19 et l'obligation de rester chez soi. Zoom a connu un énorme engouement en quelques semaines. Sa disponibilité sur diverses plateformes et sa facilité d'utilisation l'ont rendu d'autant plus désirable : il suffit de lancer l’application ou la page web pour créer un lien d’invitation. Il n’est même pas nécessaire de s’inscrire.

Difficile dès lors pour d’autres plateformes de lutter, et Zoom a même dépassé en peu de temps le nombre d’utilisateurs de Teams, le concurrent de Microsoft à Slack. Pas étonnant depuis que l’éditeur de Redmond ait annoncé il y a quelques jours l’arrivée de Teams pour le grand public plus tard cette année.

Mais le succès a son revers de médaille. L’attention suscitée a attiré des curieux et des questions ont été posées : le chiffrement annoncé est-il réellement de bout en bout ? Que fait Zoom des données ? Que cache la simplicité du processus ? Le code est-il sûr ?

Une accumulation de défauts…

Le monde de la sécurité connaissait déjà bien Zoom, car les clients de l’éditeur se sont fait remarquer plusieurs fois pour de mauvaises raisons.

En juillet 2019, le chercheur Jonathan Leitschuh avait découvert que la version Mac de Zoom installait en secret un serveur web pour répondre plus efficacement aux appels. Problème, ce serveur était ouvert aux quatre vents et permettait à la machine d’être piratée : on pouvait déclencher sa réponse automatique, le serveur web réinstallant même le client si celui-ci avait été supprimé entre temps.

Le problème était tel que Zoom avait été dans l’incapacité de le corriger de lui-même. L’éditeur avait été alors secouru par Apple elle-même, la firme déployant un correctif à l’échelle du parc Mac tout entier pour juguler la faille béante. Zoom avait participé à son développement et remercié Apple, mais sa crédibilité en avait clairement pris un coup.

Le client Mac ne brille toujours pas par le « sérieux » de son développement. Plus récemment, un autre chercheur en sécurité a cloué l’application au pilori pour ses mauvaises pratiques. Son script d’installation complexe saute des étapes cruciales et profite de la préparation du processus pour tout installer, en réclamant le mot de passe de la session pour obtenir les droits administrateur. Cette installation, qui se fait via un PKG, ne permet donc pas une annulation du processus une fois la phase préparatoire terminée.

Le chercheur ajoute que l’application en elle-même n’est pas un malware, mais que la technique d’installation employée est très proche de celle de nombreux logiciels malveillants. À la suite de son fil de tweets, d’autres chercheurs ont réagi, ajoutant que Zoom remontait souvent dans les exemples de comportements malveillants, sans être en elle-même un danger, le service étant bien ce qu’il annonce être.

À l’époque de la faille de sécurité du client Mac, le conseil était alors de se tourner vers la version web ou l’application iOS. Mais là non plus, tout est loin d’être rose. Certaines ont reproché notamment à la version web de tout faire pour empêcher l’utilisateur de déclencher un appel sans avoir à installer le client local (TechCrunch n’hésite par exemple pas à parler de dark pattern, là encore un terme que l’on retrouve souvent dans le monde des malwares).

La version iOS a récemment fait la une pour son aspect bavard. Pour simplifier la connexion à son service, les développeurs de Zoom avaient en effet inclus le kit de développement Facebook. Objectif, proposer une identification via une plateforme que les utilisateurs connaissaient déjà, pour ceux voulant éviter la création d’un nouveau compte.

Patatras, elle aussi avait un problème. Motherboard avait repéré que l’application émettait de nombreuses données qui, sans être forcément trop personnelles, partaient chez Facebook sans que l’utilisateur en soit averti. Zoom s’en était excusé et avait joué la carte de la transparence, publiant très rapidement une mise à jour dont le SDK de Facebook avait été extirpé. L’éditeur avait dans la foulée mis à jour ses conditions d’utilisation et sa page dédiée à la vie privée pour refléter ces changements. Au moins l’histoire n’avait pas été passée sous silence.

Ce qui n’a pas empêché un utilisateur de lancer une action de groupe contre Zoom pour ces fuites d’informations, le mal ayant été fait.

… qui ne fait que s’amplifier

Si la situation n’était déjà pas glorieuse, elle n’a fait que s’empirer depuis. Les problèmes découverts ont attiré d’autres chercheurs, qui se doutaient que le service cachait d’autres bêtises. Un consensus voyait déjà le jour : Zoom n’était pas développé par une entreprise cherchant à tromper son monde, mais par une équipe qui ne semblait guère formée à ce que la sécurité implique.

Car depuis plusieurs jours, les mauvaises nouvelles tombent sur Zoom, dont les faiblesses dans ce domaine éclatent au grand jour. Un ancien hacker de la NSA, Patrick Wardle, a ainsi publié sur le blog d’Objective-See – éditeur notamment de MalwareBytes, pour qui il travaille – les détails de deux failles 0-day.

Elles nécessitent un accès physique à la machine et ne sont donc pas considérées comme critiques. Mais, exploitées, elles autorisent le pirate à maintenir un accès complet, permanent et à distance, lui permettant d’installer des malwares. Zoom a promis d’examiner au plus vite le problème.

Le 1er avril, deux chercheurs en sécurité ont publié sur Twitter une autre découverte : une faille de sécurité dans le client Windows. Exploitée, elle permet cette fois la récupération de mots de passe dans le système d’exploitation.

Le problème vient de la manière dont l’application gère la suite de caractères représentant la localisation sur le réseau de l’utilisateur. Ces séquences UNC (Universal Naming Convention) – de forme « \\attacker.example.com/C$ » – sont converties en liens cliquables.

Si le lien est cliqué depuis un réseau non verrouillé correctement, Zoom envoie alors les noms d’utilisateurs Windows et leurs empreintes NTLM. Des informations pouvant alors être utilisées par les pirates pour accéder à des ressources du réseau, comme les bases de données Outlook. Là encore, Zoom est au courant et promet une réponse rapide. En attendant, il est recommandé aux utilisateurs de porter une attention particulière aux liens qui seraient publiés dans une conversation.

Les communications ne sont pas chiffrées de bout en bout

Tout aussi récemment, The Intercept a plongé ses mains sous le capot de Zoom et a découvert cette fois que l’éditeur mentait : non les communications n’y sont pas chiffrées de bout en bout. « Lorsque nous utilisons l’expression de bout en bout […], c’est en référence à la connexion chiffrée d’une destination Zoom à une autre » a répondu l’entreprise à nos confrères.

Ce qui signifie, en clair, que Zoom se sert de TLS, donc du chiffrement de la connexion elle-même. Mais sans le « de bout en bout », cette opération est en fait la même que n’importe quel site HTTPS : les données sont protégées pendant le voyage, mais ne sont pas en elles-mêmes chiffrées. Elles sont parfaitement lisibles sur les serveurs de Zoom par des employés un peu trop curieux. Ce qu’ils ont stricte interdiction de faire, a précisé Zoom.

On sait cependant que cette absence de chiffrement est un choix de l’éditeur, car la plupart des opérations sur les flux vidéo sont réalisés sur les serveurs, non localement, rendant les clients particulièrement légers. Le problème réside davantage dans la communication : l’entreprise ne peut pas affirmer utiliser un chiffrement de bout en bout quand tel n’est pas le cas. La publicité est mensongère, et peu en phase avec le RGPD.

Zoom étant une entreprise américaine, elle est soumise au Cloud Act et peut se voir forcée de remettre des données aux forces de l’ordre. Contrairement à de grandes entreprises cependant comme Apple, Facebook, Google ou Microsoft, elle ne publie aucun rapport de transparence. On ignore donc qui lui a demandé quoi, y compris de la part d’autres gouvernements. Access Now, association de défense des droits de l’homme, avait d’ailleurs publié le 18 mars une lettre ouverte invitant Zoom à s’aligner sur les pratiques des autres sociétés.

Fuites d’adresses emails et photos

Autre témoignage d'un développement à la va-vite : Zoom possède une fonction destinée à faciliter la mise en relation des employés au sein d’un même entreprise.

La méthode employée est très simple : le Company Directory repère les personnes ayant le même domaine dans leur adresse email. Par exemple, [nom]@nextinpact.com et [autrenom]@nextinpact.com seront automatiquement ajoutés dans leur liste de contacts respective.

Cette fonction, clairement destinée au monde professionnel, a eu de gros dérapages. Des utilisateurs munis d’adresses personnelles ont pu avoir la surprise de nombreux inconnus débarquer automatiquement dans leur liste de contacts. Pourquoi ?

Parce que les filtres mis en place par Zoom pour éviter des domaines de type orange.fr manquent parfois d’efficacité. C’est un peu comme si votre adresse Gmail vous mettait en relation avec les autres utilisateurs de comptes Google.

Rien d’aussi énorme bien sûr, mais des ratés ayant tout de même impliqué des milliers de personnes. L’éditeur ne semble s’être intéressé qu’aux domaines les plus courants. Motherboard signale, grâce un utilisateur ayant eu cette mauvaise expérience, que les domaines néerlandais s4all.nl, dds.nl et quicknet.nl ont par exemple été touchés.

L’utilisateur déclare avoir maintenant un millier de contacts environ dans sa liste, tous avec leur adresse email et pour beaucoup avec leur photo. Il peut déclencher des appels vidéo avec toutes ces personnes. Le fournisseur d’accès néerlandais XS4ALL avait de son côté tweeté dimanche qu’il ne pouvait rien faire contre ce problème.

Zoom, interrogé au sujet de la situation, n’a pas caché sa responsabilité. L’entreprise a expliqué que sa liste noire était régulièrement mise à jour, mais sans éviter des ratés. Avec la recrudescence explosive du nombre d’utilisateurs, l’éditeur semble dépassé par les évènements, les développeurs courant probablement toute la journée pour gérer la liste de problèmes qui ne cesse de s’allonger.

Pas assez de fuites de données ? Place aux liens LinkedIn

Le New York Times en a remis une couche hier, dans un article consacré aux découvertes de deux journalistes, qui se sont penchés sur les liens troubles entre Zoom et LinkedIn.

Leur attention a été attirée par une fonctionnalité automatique permettant de relier un utilisateur Zoom à son profil LinkedIn, du moins pour ceux inscrits au service LinkedIn Sales Navigator. Quand ce dernier est activé, un utilisateur peut voir les profils LinkedIn des participants à la réunion via une icône spécifique à côté de chaque nom.

Le lien se fait par un processus maison chez Zoom. Un service actif récupérant l’adresse email et le nom de chaque participant pour chercher une correspondance dans LinkedIn. L’adresse email est même suffisante, puisque les journalistes ont rejoint des conversations en utilisant des pseudonymes, Zoom les « démasquant » sans difficulté.

Le logiciel va plus loin. En analysant les données échangées par Zoom, les deux journalistes ont découvert que ces informations étaient en fait envoyées dans tous les cas dans l’outil de mise en relation pour les tenir prêtes à l’emploi. Ces données ont été repérées après que des étudiants du Colorado avaient rejoint une session vidéo imposée par leur université. Les informations personnelles de six d’entre eux ainsi que du professeur avaient « matché » avec leurs profils LinkedIn.

Contactées, les deux entreprises ont stoppé le fameux service. Zoom a supprimé le LinkedIn Sales Navigator et donc désactivé cette capacité sur sa plateforme. LinkedIn a pour sa part rappelé que les informations récupérées par Zoom étaient celles définies par l’utilisateur comme pouvant être publiques.

Zoombombing : quand des inconnus viennent mettre le bazar

Le zoombombing fonctionne exactement comme le photobombing, où une personne « s’incruste ». Dans le cas de Zoom, c’est d’autant plus simple que certaines conversations ne sont pas privées. Des invitations sont ainsi lancées publiquement, comme l’évènement quotidien WFH Happy Hour, tenu par le journaliste Casey Newton de The Verge et l’investisseur Hunter Walk.

Un petit malin a cru amusant de se connecter et de partager directement à l’écran de tout le monde la fameuse vidéo « two girls, one cup », puis d’enchainer avec d’autres contenus pornographiques pour le moins difficiles à oublier.

La « blague » est rendue possible par les réglages par défaut de Zoom. Le logiciel se faisant fort de permettre au plus grand nombre de se connecter sans grandes connaissances en informatique, il applique dès le départ des paramètres simplifiant au maximum son utilisation, au nom de la facilité. Tout particulièrement deux d’entre eux : le partage d’écran et la reconnexion.

Le premier permet à tout participant de partager son écran sans avoir à demander l’utilisation. Les autres voient alors tous ce qui est affiché. Le second autorise un participant sortant de l’appel d’y revenir sans en demander l’autorisation. Malheureusement, ce réglage permet aussi à un trublion chassé par l’hôte de revenir indéfiniment.

L’hôte doit donc changer ces deux paramètres. Dommage cependant, car désactiver le premier revient à n’autoriser que l’hôte à partager son écran. Aucun système de demande n’existe : soit tout le monde peut partager, soit uniquement l’hôte. Il manque clairement une capacité intermédiaire.

Zoom non adapté au partage de secrets, la Chine impliquée

Le constat peut paraître évident au vu des failles et problèmes déjà découverts, mais c’est la conclusion d’une équipe de chercheurs de The Citizen Lab.

Les entreprises se méfient désormais de Zoom et plusieurs l’ont déjà interdit, comme SpaceX. La NASA a fait de même. En France, l'application est pourtant utilisée à l'Assemblée nationale ou par le ministre de l'Éducation

The Citizen Lab met cependant en garde contre tous ceux qui seraient tentés par la facilité de Zoom dans un contexte ne s’y prêtant pas. Sont particulièrement vulnérables : les gouvernements et entreprises partageant des informations sensibles à l’espionnage, les services de santé et médecins échangeant des données de patients, ainsi que les activistes, avocats et journalistes travaillant sur des sujets sensibles.

Les chercheurs signalent en outre que plusieurs sociétés chinoises sont impliquées dans le développement de Zoom. Le siège de la société est bien aux États-Unis, mais 700 employés sont répartis dans trois filiales en Chine. En outre, les clés de chiffrement et de déchiffrement voyagent entre les serveurs de Zoom et d’autres situés dans le pays asiatique. 

Zoom gèle ses développements pour se concentrer sur la sécurité

Un consensus émerge chez les chercheurs et experts en sécurité : Zoom n’a rien d’un malware, mais est le fruit d’une entreprise obnubilée par la facilité d’utilisation.

Certains diraient, à la décharge de la société, qu’elle a été surprise par l’engouement exceptionnel de son service depuis le début de la crise Covid-19. L’éditeur a certes probablement dû courir en tous sens pour adapter son infrastructure à l’envolée des demandes, mais cela n’excuse pas pour autant plusieurs points importants, dont la tromperie autour du chiffrement de bout en bout ou les indélicatesses sur le terrain du RGPD, dont l'impérieuse obligation de sécurisation.

Il est donc recommandé aux hôtes de configurer soigneusement leur client, particulièrement si le lien est public :

  • Basculer le partage d’écran sur « Hôte uniquement »
  • Désactiver « Rejoindre avant l’hôte » pour interdire aux participants d’arriver avant
  • Activer la fonction « Co-hôte » permettant d’assigner un rôle de modérateur à d’autres
  • Désactiver les transferts de fichier pour éviter tout risque de diffusion de malwares
  • Désactiver la possibilité pour les participants de revenir après être partis

Mais il serait surtout bon que Zoom revoie sérieusement la configuration par défaut de son client pour éviter au maximum les soucis mentionnés précédemment. Ce qui a été fait au cours des derniers jours pour les écoles.

L’éditeur a d’ailleurs réagi, car sa nouvelle place de géant de la visioconférence impose d’importantes responsabilités. Dans un long billet de blog, son PDG Eric S. Yuan a commencé par donner quelques chiffres. 90 000 écoles dans une vingtaine de pays utilisent ainsi le service. Le nombre d’utilisateurs est passé, lui, de 10 millions en décembre à 200 millions en mars. 20 fois plus en trois mois. En outre, il indique clairement que le seul objectif de l’entreprise ces dernières semaines a été de tenir la charge devant cet afflux massif.

Surtout, Zoom annonce un gel de ses développements pour 90 jours. Période durant laquelle les équipes se consacreront exclusivement à la sécurité et à la protection de la vie privée. « Nous reconnaissons que nous n’avons pas été à la hauteur des attentes de la communauté » ajoute Yuan.

« Nous n’avons pas conçu le produit dans l’idée que, en quelques semaines, n’importe quelle personne dans le monde pourrait soudainement travailler, étudier et socialiser depuis son domicile. Nous avons maintenant un panel beaucoup plus large d’utilisateurs se servant de notre produit d’une myriade de façons inattendues, nous imposant des défis que nous n’avons pas anticipés quand la plateforme a été conçue ».

Plusieurs mises à jour ont été publiées depuis environ deux semaines pour corriger au plus vite les éléments découverts. D‘autres réclameront plus de temps. Zoom n’a fourni aucune liste d’éléments à travailler, on ne sait donc pas à quels problèmes l’entreprise s’attaquera en priorité. On imagine que les failles et problèmes les plus évidents seront traités en priorité.

Quant au chiffrement de bout en bout, il n’y aura pas de solution simple. Zoom a mis à jour sa page relative à la vie privée pour clarifier la situation et ne plus faire de fausse promesse. Il est probable que l’entreprise n’active pas de chiffrement E2E, car la simplicité d’utilisation reste son premier argument commercial. Cela ne doit pas empêcher les clients de respecter la vie privée des utilisateurs et de fournir un socle décent de sécurité.


chargement
Chargement des commentaires...