Le logiciel de visioconférence Zoom est passé de 10 millions d’utilisateurs en décembre 2019 à plus de 200 millions aujourd’hui. Cette croissance fulgurante s’est accompagnée d’une suite de révélations sur ses problèmes de sécurité. Et pour cause : Zoom attire plus que jamais l’attention des chercheurs en cybersécurité et des hackers malveillants, qui dissèquent son code à la recherche de vulnérabilités.
Et justement, deux failles zero day ont été repérées par Motherboard, l’une sur le client Windows de l’application, l’autre (moins importante) sur son client MacOS. Les zero day ne sont pas connues par l’éditeur du logiciel, qui n’a donc pas encore pu déployer des réparations et protections supplémentaires. Elles ont ainsi de bien plus grandes chances de fonctionner.
500 000 dollars pour une vulnérabilité difficile à exploiter
La faille Windows serait critique, car elle permettrait d’exécuter du code à distance. Concrètement, un hacker pourrait lancer des programmes sur l’ordinateur de sa victime, et accéder à l’ensemble du système (au-delà de Zoom). Le tout, sans avoir besoin d’intervention de la part de l’utilisateur. L’exploitation de la faille d’accéder aux enregistrements des conversations Zoom et aux documents hébergés sur le système, entres autres. De quoi faire un espionnage industriel bien documenté.
Forcément, la faille va attirer de potentiels acheteurs, et des pirates tentent de vendre le code qui permettrait de profiter de la faille Windows pour 500 000 dollars, un prix élevé, mais loin d’être exceptionnel. Une zero day peut se vendre à partir de quelques milliers de dollars et jusqu’à plus de 2 millions en fonction de son ampleur, de la popularité et du genre de données contenues sur le logiciel affecté.
Costlin Raiu, directeur de l’équipe de recherche et d’analyse de l’entreprise de cybersécurité Kaspersky évalue la vente sur Twitter : le prix est pour lui largement surévalué… mais des personnes paieront sûrement. Si plusieurs experts estiment que la vulnérabilité devrait être jusqu’à deux fois moins chère, c’est parce qu’une d’une condition essentielle à son exploitation limite grandement son exploitation : il faut que le hacker soit en appel avec sa victime.
Zoom ciblé par la montée de l’espionnage industriel
Zoom a déclaré à Motherboard qu’il est au courant de ces ventes, mais qu’il n’a pour l’instant pas identifié les failles en question. En revanche, si certaines personnes commencent à les exploiter, l’éditeur pourrait glaner des informations sur leurs emplacements grâce à ses outils de contrôle, et les réparer.
Tout logiciel a ou a eu des failles zero days. Les grandes entreprises sont plutôt jugées sur leur capacité à y réagir rapidement — avant l’ exploitation en masse de la vulnérabilité –, que sur leur existence (à moins qu’il ne s’agisse d’une faille particulièrement critique).
La faille que nous venons de décrire n’affectera pas l’écrasante majorité des utilisateurs. En revanche, elle pourrait concerner certains employés et dirigeants, présents dans les réunions stratégiques de leur entreprise. L’espionnage industriel est au plus haut, puisque les salariés confinés s’échangent un nombre grandissant d’informations confidentielles sur les logiciels de visioconférence. Des géants américains comme Google et SpaceX ont d’ailleurs banni l’utilisation de Zoom par leurs employés à cause des problèmes de sécurité du logiciel.
Zoom déploie de vrais efforts pour améliorer sa sécurité
En France, des députés s’interrogent sur l’usage de Zoom pour les réunions de travail de l’Assemblée, alors que de son côté le Sénat américain a déjà déconseillé son utilisation. Des logiciels plus sécurisés comme Tixeo ou Jitsi sont conseillés par les experts, mais ils n’ont ni les mêmes capacités ni la même fluidité d’utilisation.
Si Zoom a encore de nombreux problèmes à résoudre, il met enfin les efforts pour y parvenir. Le fondateur de l’entrerprise, Eric Yuan, a annoncé début avril que l’intégralité des efforts de développement de l’entreprise serait consacrée pendant 90 jours à l’amélioration de la sécurité du logiciel. Zoom a déjà résolu son plus gros problème, le « zoombombing », supprimé un étrange lien avec Facebook, et il offre désormais la possibilité à ses abonnés payants de choisir dans quels pays leurs données circuleront.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.