Zoom: Beaucoup de faiblesses pour une application qui est utilisée par près de 200 millions de personnes:
En novembre 2018, une vulnérabilité de sécurité (CVE -2018-15715) a été découverte qui permet une attaque à distance qui permet d'usurper les messages d'un partIcipant à une réunion.
En juillet 2019, le chercheur en sécurité Jonathan Leitschuh a révélé46 une vulnérabilité zero-day permettant à n'importe quel site Web de joindre de force un utilisateur macOS à un appel Zoom, avec sa caméra vidéo activée, sans l'autorisation de l'utilisateur. De plus, les tentatives de désinstallation du client Zoom sur macOS permettrait au logiciel de se réinstaller automatiquement en arrière-plan, en utilisant un serveur Web caché qui a été configuré sur la machine lors de la première installation et qui est resté actif même après avoir tenté de supprimer le client. Après avoir reçu des critiques publiques, Zoom a mis à jour son logiciel pour supprimer la vulnérabilité et le serveur Web caché, permettant ainsi une désinstallation complète47.
En mars 2020, le New York Times révèle que le procureur général de New York examine les pratiques de confidentialité de Zoom et l'a sollicité sur certains points dont sa lenteur à résoudre des problèmes de sécurité (vulnérabilités pouvant permettre l'accès aux webcams) et sa politique de confidentialité des données (partage des données avec Facebook)48. Ce cadre, lié à la confidentialité et la sécurité de l’application, entraînent plusieurs gouvernements et entreprises à interdire, en avril 2020, l’utilisation de l’application49.
En raison de la popularité grandissante de Zoom due à l’épidémie de COVID-19, des cybercriminels ciblent les utilisateurs avec des attaques de phishing. 3 300 nouveaux noms de domaines contenant le mot zoom ont été enregistrés, dont 2 200 en mars17.
Est-ce que l'application Zoom est un malware ?
Stan Joe, Tests et validation logiciel (2008-présent)
Ce qui est inquiétant, c'est que cette application ne permet pas de garantir la confidentialité des échanges :
- Utilisation d'une clé de 128bits quand le minimum de 256 est recommandé à l'heure actuelle.
- Utilisation du chiffrement AES en utilisant un algorithme ECB (Electronic Codebook) qui est considéré comme le pire des modes disponibles de l'AES.
- Certains des systèmes de gestion des clés de chiffrement (5 sur 73 d'après Citizen Lab) semblent être situés en Chine.
- De plus, Zoom n'utilise pas un cryptage de bout en bout de la chaîne.
Cela fait beaucoup de faiblesses pour une application qui est utilisée par près de 200 millions de personnes et par des cabinets ministériels en cette période de crise[1].
Sécurité
Selon le site officiel, Zoom utilise le chiffrement Advanced Encryption Standard 256 bits (AES 256)45.En novembre 2018, une vulnérabilité de sécurité (CVE -2018-15715) a été découverte qui permet une attaque à distance qui permet d'usurper les messages d'un partIcipant à une réunion.
En juillet 2019, le chercheur en sécurité Jonathan Leitschuh a révélé46 une vulnérabilité zero-day permettant à n'importe quel site Web de joindre de force un utilisateur macOS à un appel Zoom, avec sa caméra vidéo activée, sans l'autorisation de l'utilisateur. De plus, les tentatives de désinstallation du client Zoom sur macOS permettrait au logiciel de se réinstaller automatiquement en arrière-plan, en utilisant un serveur Web caché qui a été configuré sur la machine lors de la première installation et qui est resté actif même après avoir tenté de supprimer le client. Après avoir reçu des critiques publiques, Zoom a mis à jour son logiciel pour supprimer la vulnérabilité et le serveur Web caché, permettant ainsi une désinstallation complète47.
En mars 2020, le New York Times révèle que le procureur général de New York examine les pratiques de confidentialité de Zoom et l'a sollicité sur certains points dont sa lenteur à résoudre des problèmes de sécurité (vulnérabilités pouvant permettre l'accès aux webcams) et sa politique de confidentialité des données (partage des données avec Facebook)48. Ce cadre, lié à la confidentialité et la sécurité de l’application, entraînent plusieurs gouvernements et entreprises à interdire, en avril 2020, l’utilisation de l’application49.
En raison de la popularité grandissante de Zoom due à l’épidémie de COVID-19, des cybercriminels ciblent les utilisateurs avec des attaques de phishing. 3 300 nouveaux noms de domaines contenant le mot zoom ont été enregistrés, dont 2 200 en mars17.
Notes de bas de page