La vulnérabilité de Zoom découverte par les chercheurs aurait pu permettre aux attaquants d'accéder à des réunions – et constituer un moyen simple d'espionnage industriel.
Une faille de sécurité dans l'un des outils de visioconférence d'entreprise les plus utilisés au monde aurait pu permettre à des pirates informatiques d'écouter des réunions d'affaires privées.
Sécurité
- 8 habitudes des travailleurs à distance hautement sécurisés
- Comment trouver et supprimer les logiciels espions de votre téléphone
- Les meilleurs services VPN: comment se comparent les 5 meilleurs?
- Comment savoir si vous êtes impliqué dans une violation de données – et que faire ensuite
Zoom est utilisé par plus de 60 % des entreprises Fortune 500 et plus de 96 % des 200 meilleures universités des États-Unis. Ces organisations utilisent l'outil de conférence comme moyen de mener facilement des réunions à distance, avec des flux audio et vidéo en direct, ainsi que le partage d'écran et les transferts de fichiers.
Cependant, des chercheurs de la société de cybersécurité Check Point ont découvert qu'il était possible d'exploiter la façon dont Zoom générait les URL des salles de conférence virtuelles et de les utiliser pour écouter les réunions. En utilisant des outils automatisés pour générer des identifiants de salle de réunion aléatoires, les chercheurs ont découvert qu’ils pouvaient générer des liens vers de véritables réunions Zoom sans protection par mot de passe dans 4 % des cas pendant les tests.
Et même si la génération aléatoire d'URL signifie que cette astuce ne peut pas être utilisée pour des attaques ciblées contre un Dans une organisation particulière, si les attaquants trouvaient une salle intéressante, ils pourraient continuer à y revenir, à moins qu'un mot de passe ne soit fourni. ajouté plus tard.
VOIR: Une stratégie gagnante pour la cybersécurité (Rapport spécial ZDNet) | Téléchargez le rapport au format PDF (TechRépublique)
Même s'il est possible pour les membres de la salle virtuelle de remarquer que l'attaquant a rejoint l'appel, ces réunions sont souvent très chargées, de sorte qu'un membre supplémentaire pourrait ne pas sonner l'alarme.
"Le membre supplémentaire serait visible par les autres participants à la réunion s'ils regardaient la fenêtre" participants "dans Zoom. Mais dans de nombreux cas, les conférences Zoom peuvent compter 10 participants ou plus, de sorte que le pirate informatique peut ne pas être remarqué une longue liste", a déclaré Alexander Chailytko, responsable de la recherche et de l'innovation en cybersécurité chez Check Point. ZDNet.
Ne pas avoir de mot de passe pour les réunions était le paramètre par défaut pour les réunions planifiées utilisant Zoom, mais suite à la divulgation du vulnérabilité de Check Point, le fournisseur de logiciels de téléconférence a résolu le problème avec une mise à jour de sécurité et ajouté de nouvelles fonctionnalités – y compris l'ajout de mots de passe par défaut pour les réunions, une cryptographie supplémentaire et la désactivation de la possibilité de rechercher aléatoirement des réunions à rejoindre.
Check Point a déclaré que Zoom avait répondu « très sérieusement » à la divulgation lorsqu'elle a été faite en août 2019 et que les communications sur la question avaient été très rapides. Bien qu'on ne sache pas si la vulnérabilité a été utilisée à l'état sauvage, la mise à jour signifie qu'il n'est plus possible d'en abuser.
"La confidentialité et la sécurité des utilisateurs de Zoom sont notre priorité absolue. Le problème a été résolu en août 2019 et nous avons continué à ajouter des fonctionnalités supplémentaires pour renforcer davantage notre plateforme. Nous remercions l'équipe de Check Point d'avoir partagé ses recherches et de collaborer avec nous", a déclaré un porte-parole de Zoom à ZDNet.
VOIR: Un pirate divulgue les mots de passe de plus de 500 000 serveurs, routeurs et appareils IoT
Afin de contrer le risque que les cybercriminels exploitent toute forme de logiciel de téléconférence en utilisant n'importe quel vulnérabilités potentielles sur d'autres plates-formes, il est recommandé aux entreprises de s'assurer que les appels sont protégés par un mot de passe protégé.
"Au minimum, les utilisateurs doivent toujours utiliser une protection par mot de passe pour les conférences, de sorte que même si une personne tombe par inadvertance sur un identifiant de conférence, elle ne peut pas y participer sans le mot de passe", a déclaré Chailytko.
PLUS SUR LA CYBERSÉCURITÉ
- Cette mystérieuse campagne de piratage a espionné une forme populaire de logiciel VoiP
- Quelle est la stratégie de cybersécurité de votre organisation ? TechRépublique
- Alexa d'Amazon pourrait être amenée à espionner les utilisateurs, selon des chercheurs en sécurité
- Les lasers peuvent apparemment pirater Alexa, Google Home et Siri CNET
- Les assistants en chambre de l'hôtel auraient pu être utilisés pour espionner les clients