Zoom : de grosses failles découvertes lors du Pwn2Own

Le concours de piratage Pwn2Own a mis en évidence trois importantes failles de sécurité dans Zoom. Celles-ci rendent possible le contrôle à distance de l’ordinateur d’un interlocuteur.

La pandémie de Covid-19 a bouleversé nos habitudes en raison notamment du confinement et de la distanciation sociale. Cela a favorisé l’émergence des outils comme Zoom qui est une plateforme de visioconférence devenue une référence pour le télétravail. Le service a aussi permis de garder le contact avec ses proches pendant les confinements successifs. Bien que fiable en apparence, Zoom comporte des failles de sécurité majeures. Le 7 avril dernier, dans le cadre du Pwn2Own, Thijs Alkemade et Daan Keuper de l’entreprise de cybersécurité Computest en ont repéré trois.

Photo de Biljana Jovanovic – Pixabay.com

Pwn2Own est un concours de piratage qui se déroule deux fois chaque année. Zoom elle-même figure parmi les sponsors de l’évènement.

Contrôler à distance un ordinateur sans aucune action de son propriétaire

Alkemade et Keuper ont ainsi exploité les trois failles pour rendre possible le contrôle complet d’un ordinateur à distance au travers de l’application de bureau de Zoom. Et contre toute attente, ils ont réussi. Le piratage ne nécessitait d’ailleurs aucune intervention du propriétaire.

La version Windows de l’application n’est pas la seule concernée. Le piratage a également fonctionné sur la version pour macOS de Zoom. Par contre, on peut le prévenir en accédant au service via sa version web.

Alkemade et Keuper ont obtenu 200 000 dollars en guise de récompense pour leurs performances. Selon les règles du Pwn2Own, les développeurs de logiciels ont 90 jours pour corriger les failles révélées lors de la compétition.

Les recommandations de Zoom

L’information sur la découverte de ces failles s’est bien évidemment répandue comme une trainée de poudre sur la Toile en raison de la popularité de Zoom. Pour l’occasion, l’entreprise a publié un communiqué : « nous prenons la sécurité très au sérieux et apprécions grandement les efforts de Computest. Nous travaillons sur la correction de ce problème (…) Si vous pensez avoir trouvé un problème de sécurité avec les produits Zoom, veuillez envoyer un rapport détaillé à notre programme de divulgation des vulnérabilités ».

Mots-clés zoom