Le service de visioconférence Zoom critiqué pour de graves problèmes de sécurité

Le service de visioconférence Zoom critiqué pour de graves problèmes de sécurité

Dans le contexte actuel où le télétravail et les vidéo-conférences sont mis à l’honneur, le service Zoom, permettant de faire des vidéos-conférences et utilisé quotidiennement par 200 millions d’utilisateurs, s’est retrouvé, bien malgré lui, sous le feu des critiques pour de graves problèmes de sécurité.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

L’application Zoom envoyait des données vers les serveurs de Facebook à l’insu des utilisateurs

Des journalistes de Motherboard se sont penchés sur la version iOS de Zoom.

Ils ont découvert que l’application envoyait des données vers les serveurs de Facebook, ce qui n’est pas spécifié dans ses conditions générales d’utilisation.
Ce partage de données était dû à l’utilisation de l’API Graph de Facebook au sein de l’application.

Les données suivantes étaient envoyées à Facebook au lancement de l’application :

  • date de lancement de l’application ;
  • informations sur l’appareil utilisé ;
  • ville dans laquelle est situé l’utilisateur ;
  • opérateur mobile ;
  • identifiant unique utilisé pour de la publicité ciblée (IDFA, pour Apple Identifier for Advertisers).

Une mise à jour de l’application a été publiée pour corriger ce comportement.

Une plainte collective a été émise contre la société, arguant du fait que l’application ne respectait pas la loi californienne sur la protection des données.

Les appels Zoom ne sont pas chiffrés de bout en bout

Zoom prétend mettre en œuvre un chiffrement de bout en bout, largement considéré comme la forme de communication Internet la plus privée, protégeant les conversations de toutes les parties extérieures. En réalité, Zoom utilise sa propre définition du terme, qui permet à l’entreprise d’accéder elle-même à la vidéo et au son des réunions, le tout en clair.

La méthode de chiffrement utilisée par Zoom pour les appels vidéo est en fait le chiffrement du transport (TLS). Cette méthode est différente du chiffrement bout en bout, qui assure aux participants qu’eux seuls peuvent déchiffrer les communications.

Dans le cas de Zoom, les communications ne peuvent pas être interceptées et déchiffrées par quelqu’un espionnant le réseau des participants, mais ces données peuvent être accédées par Zoom. Ainsi, l’entreprise pourrait être contrainte de remettre les données des appels à des gouvernements ou aux forces de l’ordre en réponse à des demandes juridiques.

Dans une déclaration, Zoom a annoncé qu’ils n’accédaient pas directement aux données des utilisateurs, et qu’ils n’utilisaient pas ni ne vendaient ces données.

3 nouvelles vulnérabilités ont été découvertes sur Zoom

L’application Zoom est impactée par de nouvelles failles critiques pouvant impacter la vie privée des utilisateurs. Au total, trois vulnérabilités ont été récemment découvertes sur Zoom : une sur le client Windows et les deux autres sur macOS.

Sur Windows, le client est vulnérable à une injection de chemin UNC (UNC path injection) dans la fonctionnalité de chat. L’Universal Naming Convention (UNC) est une convention mise en œuvre par Microsoft pour définir l’adresse d’une ressource sur un réseau. Sur le chat, toutes les URL sont converties en liens hypertextes pour que d’autres membres puissent l’ouvrir dans leur navigateur.
Cependant, un chercheur a découvert que les chemins d’accès UNC de type \\evil.server.com\images\cat.jpg étaient également transformés en liens cliquables dans le chat. Lorsqu’un utilisateur clique sur un tel lien, Windows initie une connexion vers le site distant en utilisant le protocole SMB. Lors de ce processus, le système d’exploitation envoie le login et le condensat NTLM du mot de passe de l’utilisateur.
Un attaquant récupérant ces informations serait en mesure de retrouver le mot de passe de l’utilisateur, par exemple à l’aide d’outils tels que Hashcat. De plus, d’autres chercheurs ont découvert qu’il était possible d’utiliser les chemins UNC pour lancer des applications sur un ordinateur local. Ainsi, en cliquant sur tel lien, un utilisateur peut lancer un programme sur son ordinateur sans le savoir.

Sur macOS, les deux vulnérabilités ont été identifiées par le chercheur Patrick Wardle. Celles-ci ne sont exploitables que localement : un attaquant a donc besoin d’un accès à la machine.

La première faille de sécurité affecte l’installateur de Zoom. Un attaquant exploitant cette vulnérabilité peut élever ses privilèges pour devenir administrateur de la machine. La vulnérabilité provient de l’utilisation de la fonction AuthorizationExecuteWithPrivileges. Cette fonction a été rendue obsolète par Apple, car elle ne procède à aucune validation du fichier binaire exécuté avec les droits administrateur. Cela signifie qu’un attaquant local et sans privilèges est en mesure de remplacer ou modifier le script appelé par la fonction durant l’installation, et ainsi élever ses privilèges.

La seconde faille de sécurité a, quant à elle, un impact sur la vie privée des utilisateurs. Son exploitation permet à un attaquant d’accéder à la caméra et au microphone, d’enregistrer des conférences Zoom et d’espionner la vie privée des victimes. Zoom nécessite légitimement un accès au microphone et à la caméra afin de remplir ses fonctions. Toutefois, en injectant du code en mémoire, sous la forme d’une bibliothèque, un attaquant peut hériter de tous les droits d’accès de Zoom. L’attaquant peut ainsi prendre le contrôle de la caméra et du microphone à n’importe quel moment et sans aucune alerte du système d’exploitation.

À ce jour, Zoom n’a pas publié de communiqué ou de mise à jour concernant ces vulnérabilités. Plusieurs solutions de contournement existent pour remédier à la vulnérabilité Windows. Une solution efficace est de bloquer toutes les connexions sortantes utilisant le protocole SMB.

Références

Zoom iOS App Sends Data to Facebook Even if You Don’t Have a Facebook Account
Zoom Removes Code That Sends Data to Facebook
Zoom Faces Class Action Lawsuit for Sharing Data with Facebook
Zoom Sued for Allegedly Illegally Disclosing Personal Data
Zoom Meetings Aren’t End-to-End Encrypted, Despite Misleading Marketing
Zoom Lets Attackers Steal Windows Credentials, Run Programs via UNC Links
The ‘S’ in Zoom, Stands for Security ; uncovering (local) security flaws in Zoom’s latest macOS client

Références XMCO

CXN-2020-1606
CXN-2020-1634
CXN-2020-1657


Arthur Gautier