• Votre panier est vide.

  • LOGIN

Une faille de zoom critique pourrait permettre à un attaquant de se mêler de réunions


Certains articles de veille peuvent faire l'objet de traduction automatique.


Une vulnérabilité sérieuse existait dans l’application de visioconférence Zoom que le fournisseur a récemment corrigée. La faille de l’application Zoom pourrait permettre à un attaquant de rejoindre des réunions et d’accéder aux fichiers partagés.

Faille de zoom permettant les attaques de piratage

Des chercheurs de Check Point Research ont découvert une grave faille de sécurité dans l’application de visioconférence Zoom. La vulnérabilité pourrait potentiellement permettre à un adversaire de se faufiler dans une réunion en cours et d’écouter le contenu.

Partager les détails dans un Publier, les chercheurs ont révélé que le problème existait avec les ID de réunion Zoom. Ils ont constaté que les ID de réunion se composaient simplement de 9, 10 ou 11 chiffres. Ainsi, il était possible pour un adversaire de deviner les ID de réunion via une simple force brute.

Ensuite, pour vérifier la validité d’un ID de réunion, les chercheurs ont noté que l’élément «div» suivant:

“for url in urls:
yield MakeHTTPRequest(url=url, callback=parseResponse)
def MakeHTTPRequest(url, callback)
…
def parseResponse(response):
if response.css('div#join-errormsg').get() is None:
print('Valid Meeting ID found: {}'.format(response.url))
else:
print('Invalid Meeting ID')

Comme indiqué dans leur message,

Nous avons découvert un moyen rapide et facile de vérifier cela sur la base de ce qui suit « div «  élément présent dans le corps HTML de la réponse renvoyée lors de l’accès à « Rejoindre la réunion« URL (https://zoom.us/j/{MEETING_ID})

Invalid meeting ID.

Ainsi, toute personne utilisant cette astuce pourrait rejoindre une réunion en connaissant sa validité. Cela permettrait alors à l'adversaire d'écouter toutes les conversations et d'accéder aux fichiers partagés pendant la réunion.

Soulignant l'impact possible de cette vulnérabilité et la facilité d'exploitation, les chercheurs ont déclaré:

Nous avons pu prédire ~ 4% des ID de réunion générés aléatoirement, ce qui représente une très grande chance de succès, par rapport à la force brute pure.

Zoom a corrigé la vulnérabilité

Le bogue fonctionnait spécifiquement avec les réunions Zoom qui ne demandaient pas d'authentification de l'utilisateur avant de rejoindre. Alors que pour ceux qui ont activé l'option "Exiger un mot de passe pour la réunion", le problème ne fonctionnera pas car le contrôle de sécurité supplémentaire empêcherait les connexions non autorisées.

Les chercheurs ont signalé le problème aux autorités de Zoom en juillet 2019. Par conséquent, Zoom a rapidement corrigé le bogue en remplaçant les ID de réunion aléatoires par un identifiant cryptographique fort.

Ils ont également introduit d'autres fonctionnalités de sécurité telles que l'activation des mots de passe pour toutes les futures réunions programmées par défaut. De plus, ils ne notifieront même plus la validité d'un ID de réunion, ce qui entraînera le rechargement de la page à chaque tentative de participation. De plus, tout appareil détecté pour une analyse répétée des ID de réunion sera bloqué pendant une certaine période.

Auparavant, les chercheurs ont également découvert un bogue dans l'application Zoom pour Mac qui pourrait permettre des prises de contrôle non autorisées par webcam.

Voir aussi :

octobre 16, 2020

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)