[MAJ 10 juillet 2019: Zoom a publié un correctif sur zoom.us/download afin de supprimer le serveur web local entièrement, une fois la mise à jour du client Mac effectuée. Il permet également aux utilisateurs de désinstaller manuellement Zoom.]

 

Une vulnérabilité jour zéro affecte le client Mac des webcams Zoom. Elle permet à tout site web malicieux de mettre en marche la caméra sans permissions, en joignant son propriétaire à un appel vidéo.

Cette faille (CVE-2019–13450) affecte plus de 4 millions de caméras et jusqu’à 750 000 entreprises dans le monde.

Elle est liée à la façon dont la simple ouverture dans un navigateur web d’un hyperlien d’invitation à un rendez-vous en ligne ouvre automatiquement le client Zoom sur la machine : une fonctionnalité fort agréable, mais implémentée sans aucune sécurité.

De plus, même si le client Zoom a été désinstallé d’un Mac, un serveur web est toujours présent sur la machine et peut réinstaller le client sans permission, et sans autre interaction de l’utilisateur que la visite de certains sites web.

L’auteur de la découverte, Jonathan Leitschuh de Gradle Inc, a, conformément aux usages du métier, divulgué en toute confidentialité la faille à Zoom le 8 mars 2019, et lui a laissé un délai de 90 jours pour la corriger.

Comme ce n’est pas le cas, il informe aujourd’hui le public.

Il recommande d’activer l’option « Éteindre ma caméra quand je me joins à un rendez-vous », ou d’utiliser la commande suivante :

# Juste pour le compte local

defaults write ~/Library/Preferences/us.zoom.config.plist ZDisableVideo 1

# Pour tous les utilisateurs d’une machine

sudo defaults write /Library/Preferences/us.zoom.config.plist ZDisableVideo 1

 

Zoom Technologies est une entreprise qui a été introduite en Bourse en mars 2019 à 36 $ l’action, a ouvert à 65 $ et vaut aujourd’hui 90 $.

Un succès d’autant plus étonnant que Google, Microsoft et d’autres proposent des solutions de vidéoconférence similaires, et quasi gratuites pour les entreprises.

Sur son blogue, l’entreprise justifie l’installation d’un serveur web sur le Mac local de l’utilisateur de la caméra comme une solution à des changements introduits par Safari 12 : « une solution légitime à une médiocre expérience utilisateur ».

Mais sa réponse ne convainc pas. L’entreprise reconnaît qu’elle n’a pas bien communiqué qui contacter pour la sécurité, et annonce l’introduction prochaine d’un formulaire sur son site web pour toutes les inquiétudes liées à la sécurité.