Avec les confinements imposés un peu partout dans le monde pour lutter contre la pandémie de la maladie à coronavirus COVID-19, les entreprises de communication comme Zoom gagnent de nombreux clients et utilisateurs.
Revers de la médaille d’une telle popularité : on commence à s’intéresser aux politiques de confidentialité et à la cybersécurité de ces services.
On s’aperçoit ainsi que Boris Johnson, Premier ministre du Royaume-Uni, conduit des vidéoconférences avec son Conseil des ministres sur Zoom, alors que l’on sait désormais que ces appels ne sont pas chiffrés…
Depuis, un chercheur en sécurité au compte Twitter @_g0dmode a découvert que le client Zoom pour Windows convertissait automatiquement les chemins d’accès réseau UNC de Windows en liens que l’on peut cliquer dans une conversation.
Quand un participant clique, Windows tente de se connecteur au serveur distant à l’aide du protocole de partage de fichier SMB.
Or par défaut, Windows va envoyer le nom de connexion de l’utilisateur ainsi qu’un hachage de son mot de passe NTLM.
Le problème est que l’on peut recouvrer facilement le mot de passe à partir de son hachage grâce à des outils gratuits tels que Hashcat.
Depuis, d’autres chercheurs ont pu vérifier que c’était bien le cas.
Zoom a été notifiée du problème mais n’a pas encore publié de correctif de sécurité.
En attendant, les utilisateurs de Windows 10 Home peuvent créer une nouvelle valeur RestrictSendingNTLMTraffic de type DWORD et de valeur 2 dans l’éditeur de registre, sous :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
Les professionnels peuvent configure une stratégie de groupe à l’aide de l’éditeur de stratégie de groupe, en navigant vers :
Configuration ordinateur / Paramètres Windows / Paramètres de sécurité / Stratégies locales / Options de sécurité / Sécurité réseau : Restreinde NTLM : Trafic NTLM sortant vers des serveurs distants
Et en configurant la valeur « Refuser tout ».
Attention, pour les ordinateurs qui ont rejoint un domaine, mieux vaut consulter les services informatiques de l’organisation, car une telle configuration pourrait empêcher d’obtenir l’accès à certains disques durs partagés.