Zoom
Mettre à jour: Après la mise en ligne de cette histoire et d’autres le 1er avril, le PDG de Zoom, Eric Yuan, a abordé la sécurité de Zoom et d’autres problèmes dans un article de blog. Une partie du billet de blog détaillait un correctif de bogue à publier, qui corrigerait la vulnérabilité UNC décrite dans notre histoire originale, entre autres. Le correctif semble être diffusé automatiquement aux utilisateurs. Le personnel de PCnews qui a déjà reçu le correctif rapporte le numéro de version comme 4.6.9 (19253.0401).
Une vulnérabilité non corrigée dans Zoom permet à un attaquant de déposer un lien malveillant dans une fenêtre de discussion et de l’utiliser pour voler un mot de passe Windows, selon les rapports.
Un pirate pourrait utiliser une attaque appelée injection de chemin UNC pour exposer les informations d’identification, selon un attaque publiée sur Twitter puis suivi d’un vidéo supplémentaire. Selon The Hacker News, c’est parce que Windows expose le nom de connexion et le mot de passe d’un utilisateur à un serveur distant lorsqu’il tente de s’y connecter et de télécharger un fichier.
HackerFantastique / Twitter Tout ce qu’un attaquant doit faire est d’envoyer un lien à un autre utilisateur et de le convaincre de cliquer dessus, pour que l’attaque commence. Bien que le mot de passe Windows soit toujours chiffré, le piratage prétend qu’il peut être facilement déchiffré par des outils tiers si le mot de passe est faible.
À mesure que Zoom gagne en popularité, il a attiré l’attention de la communauté de la sécurité, qui examine de plus près les faiblesses du logiciel de vidéoconférence. En plus du risque de « Zoom bombing », des critiques ont été adressées au logiciel pour avoir prétendu être crypté de bout en bout, alors qu’en réalité, ce n’est pas le cas. L’année dernière, une faille est apparue qui permettrait potentiellement aux utilisateurs distants de rejoindre un utilisateur Mac pour un appel, puis d’allumer leur appareil photo sans autorisation. Ce défaut a été corrigé. Zoom n’a cependant pas annoncé de correctif pour le bogue actuel.
The Hacker News recommande soit d’utiliser les paramètres de la politique de sécurité de Windows pour désactiver la transmission automatique des informations d’identification NTML à un serveur distant, soit d’utiliser simplement le client Zoom pour le Web.
Remarque : lorsque vous achetez quelque chose après avoir cliqué sur des liens dans nos articles, nous pouvons gagner une petite commission. Lisez notre politique de lien d’affiliation pour plus de détails.
En tant que rédacteur en chef de PCnews, Mark se concentre, entre autres, sur les actualités de Microsoft et la technologie des puces. Il a précédemment écrit pour PCMag, BYTE, Slashdot, eWEEK et ReadWrite.