Depuis le début de la pandémie de COVID 19, les applications de visioconférence comme Zoom sont devenues un élément indispensable de notre vie quotidienne. C’est tout simplement dommage qu’ils aient une faille de sécurité qui n’est toujours pas comblée après huit mois. C’est exactement le cas de Zoom. Huit mois après avoir été signalé au fournisseur en décembre 2021, un chercheur publie désormais l’écart car il n’est toujours pas corrigé.
La vulnérabilité de Zoom est toujours ouverte
Zoom est pour nous l’une des meilleures applications de visioconférence, et il est difficile d’imaginer la vie quotidienne sans elle. Cependant, depuis au moins décembre 2021, il y a eu une énorme faille de sécurité Zoom dans le programme.
Pour être plus précis, il existe même plusieurs failles de sécurité que le chercheur en sécurité Patrick Wardle a maintenant rendues publiques lors de la conférence sur les hackers Def Con. Une vulnérabilité zero day sous macOS n’a toujours pas été corrigée, comme l’explique Wardle dans le rapport de The Verge. D’autres problèmes ont toutefois été résolus depuis, a-t-il ajouté.
Zoom répond : Au moins Zoom a finalement mis à jour son application Mac hier, dans le prolongement du rapport. La nouvelle application avec la version 5.11.5 devrait être téléchargée, car c’est exactement cette vulnérabilité qui, selon le fabricant, est désormais définitivement fermée.
Programme de mise à jour avec faille de sécurité
La vulnérabilité affecte le programme d’installation du programme, qui nécessite des autorisations utilisateur spéciales pour installer ou supprimer Zoom. Lors de l’installation initiale, Zoom demande le mot de passe de l’utilisateur, mais celui-ci n’est plus demandé lors de la fonction de mise à jour automatique, qui s’exécute de manière constante en arrière-plan. Et demande des droits de super-utilisateur.
Le programme de mise à jour vérifie si un fichier téléchargé est signé cryptographiquement, mais cela peut facilement être trompé par un bug. Tout fichier portant la même signature de certificat pourrait être utilisé pour tromper le programme.
Cela signifie que les attaquants peuvent simplement contourner la vérification et exécuter facilement des logiciels malveillants avec des droits d’administrateur. Toutefois, cela n’est possible que si les attaquants ont déjà accédé au système par un autre moyen. Mais ils ont alors libre accès au système concerné.
Une faille de sécurité était ouverte depuis huit mois
Wardle dit avoir signalé la faille de sécurité à Zoom Video Communications, Inc. dès décembre 2021, et ils ont répondu rapidement. Cependant, le correctif a entraîné un autre bug qui a permis à la vulnérabilité corrigée de continuer à s’exécuter sans problème.
« C’était un peu problématique pour moi car j’ai non seulement soumis les bugs à Zoom, mais j’ai également signalé les bugs et révélé comment corriger le code. » Wardle a déclaré à The Verge.
Aujourd’hui, après huit mois d’attente frustrante, il a décidé de rendre publique la faille de sécurité de Zoom. Et cette fois, le fournisseur semble avoir réellement maîtrisé le problème.
Après avoir publié un autre patch récemment, quelques semaines avant Def Con, qui a réussi à corriger le bug d’origine, mais n’a toujours pas comblé la faille de sécurité. Mais maintenant, Zoom semble avoir enfin maîtrisé la faille de sécurité de l’application pour macOS. Ou peut être pas?