En quelques semaines, Zoom est devenu une start-up star pour organiser des réunions en visio avec le développement du télétravail. Un succès fulgurant faisant passer l’entreprise de 10 millions de participants à la fin 2019 à 200 millions au mois de mars. A cet engouement s’ajoute maintenant des questions autour de la sécurité et de la confidentialité de la solution. Sur le premier point, plusieurs failles ont été mises à jour par des experts en sécurité.

Des failles et des imperfections

Un ancien hacker du service de surveillance américain, Patrick Wardle, a publié sur son blog deux failles de type zero day touchant Zoom et plus particulièrement les Mac en permettant un accès à la machine. La première vulnérabilité concerne l’exécutable d’installation de Zoom. L’éditeur s’appuierait sur une technique obsolète permettant l’installation sans intervention de l’utilisateur. Un attaquant à faible privilège pourrait injecter du code malveillant dans l’installateur Zoom et ainsi obtenir une élévation de privilège. La seconde faille se situe dans la façon dont Zoom gère la webcam et le micro, un attaquant pouvant injecter du code pour espionner les réunions.

La semaine dernière, on apprenait que le client Windows 10 pouvait divulguer des identifiants de connexions réseaux. Le chercheur, connu sous le nom de code_g0dmode, a découvert cette faille validée par l’expert en sécurité Matthew Hickey. Concrètement, le client Zoom convertit les URL en un hyperlien, mais également les chemins UNC (Universal Naming Convention). Ceux-ci sont utilisés pour spécifier l'emplacement d'une ressource sur le LAN. En cliquant sur un lien UNC, Windows va tenter de se connecter en utilisant le protocole SMB ce qui, par défaut, transmet l’identifiant et le mot de passe de l’utilisateur. Or le hash utilisé NTML peut être capté et déchiffré par des outils comme Hashcat.

Par ailleurs, nos confrères de Motherboard ont remarqué un problème dans « Company Directory », l’annuaire d’entreprise de Zoom. La plateforme ajoute automatiquement des personnes à la liste de contacts d'autres utilisateurs s'ils utilisent une adresse e-mail partageant le même domaine. Une personne s’est ainsi retrouvée avec 995 contacts inconnus avec leurs noms, mails et photos.

Une confidentialité critiquée

Le respect de la vie privée est un autre pan des critiques contre Zoom. En fin de semaine dernière, la réunion du cabinet de Boris Johnson a montré le risque de Zoom Bombing, c’est-à-dire la capacité à obtenir des identifiants de réunions et s’y inviter. Le FBI s’est ému du phénomène au point d’émettre une alerte sur le sujet.

Autre épisode malheureux, l’application iOS de Zoom partageait des données (localisation, fuseau horaire, opérateur télécoms utilisé, ...) de ses utilisateurs avec Facebook, y compris ceux n’étant pas abonnés au réseau social. La start-up a corrigé l’application iOS en reconnaissant que le « SDK collectait inutilement des données relatives à l'utilisation de leur appareil que font les utilisateurs ». A cette litanie, on peut ajouter un papier de The Intercept, relativisant le chiffrement de bout en bout promis par la start-up.

Une succession de problèmes qui agace certains dirigeants comme le montre Reuters qui a mis la main sur un mémo de Elon Musk interdisant aux employés de SpaceX d’utiliser Zoom. En France, la CNIL a publié un guide de bonnes pratiques pour le télétravail et promeut notamment l’application Tixeo, labellisée par l’ANSSI.  

Le CEO et fondateur de Zoom monte au créneau

Vilipendé, le fondateur et CEO de Zoom, Eric S Yuan a pris la parole via un communiqué pour défendre sa solution. Il est revenu sur les différentes critiques en mettant en exergue la forte montée en charge de la plateforme et les réponses apportées aux différents problèmes de sécurité soulevés.

Par ailleurs, il a annoncé le gel pendant 90 jours des évolutions sur les fonctionnalités. Les équipes de Zoom vont se concentrer à renforcer la sécurité et la confidentialité des fonctionnalités existantes. Dans le même temps, elles travailleront avec des tiers sur ces sujets. On notera le « lancement d'un conseil des RSSI en partenariat avec les principaux RSSI de l'industrie pour faciliter un dialogue permanent sur les meilleures pratiques en matière de sécurité et de confidentialité ». Zoom prévoit aussi la publication d’un rapport sur la transparence (c’est-à-dire sur les requêtes judiciaires demandées en fonction des Etats). Enfin, Eric S Yuan organisera un webinar toutes les semaines pour aborder les questions de sécurité et de confidentialité.