Zoom est à nouveau critiqué pour ses graves failles de sécurité. D’une part, les pirates ont récemment pu détourner des comptes Windows via Zoom, il semble maintenant que la plupart des gens ont une vidéoconférence sans mot de passe, ce qui n’est pas sécurisé.
L’outil de vidéoconférence Zoom a gagné en popularité depuis le début de l’épidémie de coronacrisis. Dans le même temps, les attaques des cybercriminels et les critiques des protectionnistes des données se sont multipliées. En conséquence, le patron de Zoom, Eric Yuan, a déclaré mercredi que la société se concentrerait sur les correctifs de sécurité et les corrections de bogues dans les mois à venir. Le développement de nouvelles fonctions pour l’application est en attente pour l’instant. Deux failles de sécurité actuelles montrent à quel point cela est important.
L’écart de zoom permettait d’accéder aux données sensibles
Dans une vulnérabilité, les pirates auraient eu la possibilité d’accéder à des données et des e-mails sensibles jusqu’à ce que l’écart soit comblé mercredi. L’expert en sécurité informatique Matthew Hickey avait précédemment déclaré qu’il avait réussi à intercepter le nom d’utilisateur et le mot de passe Windows d’un utilisateur Zoom. Il avait pu transférer cela sur un serveur qu’il contrôlait sans se faire remarquer. L’attaque était assez facile à mener, a déclaré Hickey.
Hickey, qui travaille pour la société informatique Hacker House, a pu répliquer cette attaque en 30 minutes. Les utilisateurs disposant d’ordinateurs d’entreprise étaient particulièrement exposés.
La plupart des gens utilisent Zoom pour avoir une visioconférence sans mot de passe
Le célèbre chercheur en sécurité Brian Krebs signalé un autre problème sur son blog Krebsonsecurity. Selon lui, le soi-disant bombardement par zoom est également possible principalement en raison d’une protection par mot de passe inadéquate. Le bombardement zoom fait référence à l’entrée indésirable d’étrangers dans une conférence Zoom.
Le moteur de recherche automatique de réunions de conférence Zoom «zWarDial» détecte environ 100 réunions par heure qui ne sont pas protégées par des mots de passe. L’outil a également invité Zoom à rechercher si son approche par mot de passe par défaut pouvait être défectueuse. https://t.co/dXNq6KUYb3 pic.twitter.com/h0vB1Cp9Tb
– briankrebs (@briankrebs) 2 avril 2020
Selon Krebs, l’outil Z-War-Dial, qui peut détecter les vidéoconférences Zoom non protégées par un mot de passe, trouverait actuellement environ 100 réunions de ce type par heure. L’outil ne trouve pas les vidéoconférences Zoom protégées par mot de passe. Le problème réside d’une part dans les utilisateurs inattentifs qui oublient de sécuriser leur réunion en conséquence. D’un autre côté, il semble également y avoir un problème avec Zoom. Parce que l’outil doit en fait attribuer un mot de passe automatique – dans de nombreux cas, cela ne semble pas fonctionner, selon Krebs.
