Frappé par une faille, Zoom bétonne la sécurité de sa webconférence
Affectant dans un premier temps les utilisateurs de la version macOS pour poste de travail, la vulnérabilité de l'application de webconférence Zoom s'est étendu aux solutions RingCentral et Zhumu. Pour circonscrire les risques, l'éditeur lance notamment un programme de bug bounty.
Branle-bas de combat chez Zoom. Le fournisseur en solutions de webconférence a publié la semaine dernière un correctif destiné à corriger une faille de sécurité dans la version Mac de son application de chat vidéo sur ordinateur de bureau permettant à des pirates de prendre le contrôle de la webcam d'un utilisateur. Le fournisseur a expliqué que rien n'indique qu'un exploit a touché des utilisateurs. Mais les préoccupations concernant la faille et son fonctionnement ont soulevé des questions quant à savoir si d'autres applications similaires pourraient être également vulnérables. On sait aujourd'hui que c'est le cas, cette vulnérabilité affectant également les solutions RingCentral et Zhumu, motorisées par Zoom, d'après le chercheur en sécurité Karan Lyons. La vulnérabilité a été découverte par le chercheur en sécurité, Jonathan Leitschuh, qui a publié des informations à ce sujet dans un article publié sur son blog. La faille a potentiellement affecté 750 000 entreprises et environ 4 millions de personnes utilisant Zoom, a déclaré le chercheur. La faille concerne une fonctionnalité de l'application Zoom qui permet aux utilisateurs de rejoindre rapidement un appel vidéo en un clic, grâce à un lien URL unique qui lance immédiatement l'utilisateur dans une réunion vidéo. Cette fonctionnalité est conçue pour lancer l'application rapidement et de manière transparente pour une meilleure expérience utilisateur. Bien que Zoom propose aux utilisateurs la possibilité de laisser leur appareil photo éteint avant de prendre un appel - et que les utilisateurs puissent ensuite éteindre l'appareil photo dans les paramètres de l'application - la valeur par défaut est de laisser la caméra allumée.
Jonathan Leitschuh a fait valoir que la fonctionnalité pourrait être utilisée à des fins malveillantes. En dirigeant un utilisateur vers un site contenant un lien de jointure rapide incorporé et caché dans le code du site, l'application Zoom pourrait ainsi être lancée par un attaquant, ce qui aurait pour effet d'actiber la caméra et/ou le microphone sans la permission de l'utilisateur. Cela est possible car Zoom installe également un serveur Web lors du téléchargement de l'application de bureau. Une fois installé, ce dernier reste sur l'appareil, même après la suppression de l'application Zoom. Après la publication du message du chercheur en sécurité, Zoom a d'abord tenté de minimiser les préoccupations concernant ce serveur Web avant d'annoncer la publication d'un correctif en urgence pour le supprimer des périphériques Mac. « Au début, nous ne pensions pas que ce serveur Web représentait un risque important pour nos clients et, en fait, nous estimions que cela était essentiel à notre processus de jointure transparente », a déclaré Richard Farley, le RSSI de Zoom, dans un article de blog. « Mais en entendant le tollé de certains de nos utilisateurs et de la communauté de la sécurité au cours des dernières 24 heures, nous avons décidé de mettre à jour notre service. » Apple a également publié mercredi dernier une mise à jour "silencieuse" qui assure la suppression du serveur Web sur tous les appareils Mac, selon Techcrunch. Cette mise à jour aurait ainsi permis de protéger les utilisateurs qui ont supprimé le zoom.
Une vulnérabilité diversement accueillie par les experts
La gravité de la vulnérabilité a suscité diverses préoccupations. Selon Buzzfeed News, Jonhatan Leitschuh a classé sa sévérité à 8,5/10 tandis que Irwin Lazar, vice-président et directeur des services chez Nemertes Research, a minimisé la portée de cette vulnérabilité en indiquant qu'elle ne devrait pas être une source de préoccupation majeure pour les entreprises. « Je ne pense pas que cela soit très important », a-t-il déclaré. « Le risque est que quelqu'un clique sur un lien, démarre son client Zoom et se connecte à la réunion. Sans qu'il soit sollicité, il se ferait remarquer comme ayant rejoint la réunion et serait repéré », a déclaré Irwin Lazar. Bien que la vulnérabilité elle-même n'a pas encore été exploitée, le temps mis par Zoom pour répondre à ce problème est plus préoccupant, a déclaré Daniel Newman, associé fondateur et analyste principal chez Futurum Research. « Entre mardi et mercredi, le niveau d'importance de la vulnérabilité n'a pas été le même. Or ce qui est important pour les entreprises, c'est la persistance du problème pendant des mois, la possibilité d'annuler les correctifs initiaux, de recréer la vulnérabilité et de s'assurer maintenant que le correctif le plus récent constitue une solution permanente ».
Le correctif complet n'a été proposé par Zoom que dans un second temps. « En fin de compte, Zoom n'a pas réussi à confirmer rapidement que la vulnérabilité signalée existait réellement et résoudre le problème dans les meilleurs délais », a expliqué Daniel Newman. « Une organisation de cette taille et avec une base d'utilisateurs aussi importante aurait dû être plus proactive dans la protection de leurs utilisateurs contre les attaques. »
La carte de l'apaisement pour éviter l'embrasement
Dans une déclaration publiée mercredi dernier, Eric S Yuan, PDG de Zoom, a indiqué que la société avait « mal évalué la situation et n'avait pas réagi assez rapidement ». Mais depuis le 14 juillet, Zoom a apporté des garanties supplémentaires visant à apporter davantage de sécurité à son outil de webconférence. Une mise à jour s'applique aux applications Zoom s'exécutant sur Mac, Windows, Linux, Chrome OS, iOS (en attente de l'approbation de l'AppStore) et Android propose une fonctionnalité d'aperçu vidéo qui apparaît avant qu'un participant ne rejoigne une réunion où sa vidéo sera diffusée. Le participant peut choisir de rejoindre la vidéo, de choisir de s'inscrire sans vidéo ou d'ignorer l'invite à ne pas participer à la réunion. En outre, le participant peut également cocher une case pour toujours voir l'aperçu vidéo lors de la participation à une réunion vidéo (cette case sera cochée par défaut). Cette mise à jour est une amélioration de la version du 9 juillet. Les nouveaux participants voient désormais également la boîte de dialogue de prévisualisation vidéo. Par ailleurs, Zoom a annoncé dans les semaines à venir la mise en place d'un programme de chasse aux bugs (bug bounty) public en complément de son programme privé actuel de primes pour les bogues. « En attendant, nous encourageons toutes les personnes ayant des problèmes de sécurité à contacter support.zoom.us Notre processus d'escalade actuel n'était clairement pas suffisant dans ce cas. Nous avons pris des mesures pour améliorer notre processus de réception, de remontée et de fermeture de la boucle pour toutes les préoccupations futures liées à la sécurité », explique Zoom.
Malgré ces précautions, il est possible que des vulnérabilités similaires soient également présentes dans d'autres applications de vidéoconférence, les fournisseurs tentant de rationaliser le processus de participation aux réunions. « Je n'ai pas testé d'autres fournisseurs, mais je ne serais pas surpris qu'ils aient [des fonctionnalités similaires] », a déclaré M. Lazar. « Les concurrents de Zoom essayaient de faire correspondre leurs temps de démarrage rapide et leur expérience vidéo-première. La plupart des utilisateurs bénéficient désormais de la possibilité de rejoindre rapidement une réunion en cliquant sur un lien de calendrier. »
BlueJeans, Cisco et Microsoft sortent les parapluies
Notre confrère Computerworld a contacté d'autres éditeurs de logiciels de vidéoconférence de premier plan, notamment BlueJeans, Cisco et Microsoft, pour savoir si leurs applications de bureau nécessitaient également l'installation d'un serveur Web tel que celui de Zoom. BlueJeans a déclaré que son application de bureau, qui utilise également un service de lancement, ne peut pas être activée par des sites Web malveillants et a souligné dans un article de blog aujourd'hui que son application peut être complètement désinstallée, y compris la suppression du service de lancement. « La plate-forme de réunion BlueJeans n'est vulnérable à aucun de ces problèmes », a déclaré Alagu Periyannan, CTO de la société et co-fondateur. Les utilisateurs BlueJeans peuvent soit rejoindre un appel vidéo via un navigateur Web (qui « exploite les flux d'autorisations natifs des navigateurs » pour rejoindre une réunion), soit en utilisant l'application de bureau. « Dès le début, notre service de lancement a été mis en oeuvre avec la sécurité comme priorité», a déclaré Alaqu Periyannan dans un communiqué. «Le service de lancement garantit que seuls les sites Web autorisés par BlueJeans (par exemple, bluejeans.com) peuvent lancer l'application de bureau BlueJeans dans une réunion. Contrairement au problème référencé par [Leitschuh], les sites Web malveillants ne peuvent pas lancer l'application de bureau BlueJeans. « Nous continuons d'évaluer les améliorations à apporter à l'interaction navigateur-ordinateur (y compris la discussion évoquée dans l'article consacré à CORS-RFC1918) pour nous assurer que nous offrons la meilleure solution possible aux utilisateurs", a déclaré Alaqu Periyannan.
Un porte-parole de Cisco a par ailleurs déclaré que son logiciel Webex « n'installe ni n'utilise un serveur Web local et qu'il n'est pas affecté par cette vulnérabilité ». Un représentant de Microsoft dit à peu près la même chose de son côté, notant qu'il n'installe pas non plus de serveur Web comme Zoom. Bien que la nature de la vulnérabilité Zoom ait attiré l'attention, pour les grandes entreprises, les risques en matière de sécurité dépassent les vulnérabilités logicielles, a déclaré M. Newman. « Je pense qu'il s'agit davantage d'un problème informatique SaaS et fantôme que d'un problème de visioconférence », a-t-il déclaré. « Bien sûr, si un équipement réseau n'est pas correctement configuré et sécurisé, les vulnérabilités sont exposées. Dans certains cas, même s'ils sont correctement configurés, les logiciels et micrologiciels des fabricants peuvent créer des problèmes susceptibles de générer des vulnérabilités ».
Zoom a connu un succès considérable depuis sa création en 2011, avec une gamme de grandes entreprises clientes comprenant Nasdaq, 21stCentury Fox et Delta. Cela s'explique en grande partie par le bouche-à-oreille, l'adoption « virale » par les employés, plutôt que par le déploiement descendant de logiciels souvent imposé par les services informatiques. Cette adoption- qui a conduit à la popularité d'applications telles que Slack, Dropbox et d'autres grandes entreprises - peut créer des difficultés pour les équipes informatiques qui souhaitent un contrôle strict des logiciels utilisés par le personnel, a déclaré M. Newman. Lorsque les applications ne sont pas validées par l'informatique, cela entraîne « des niveaux de risque plus élevés ». « Les applications d'entreprise doivent associer convivialité et sécurité et cela montre en particulier que Zoom s'est clairement concentré davantage sur le premier que sur le second », a-t-il déclaré. « Cela fait partie de la raison pour laquelle je reste optimiste sur des équipes telles que Webex et Microsoft », a déclaré M. Newman. « Ces applications ont tendance à entrer par le biais de l'informatique et sont vérifiées par les parties appropriées. En outre, ces sociétés disposent d'un groupe d'ingénieurs en sécurité spécialisés dans la sécurité des applications ». Même si dans le cas de Zoom il n'a pas oublié de relever cette étonnante défense indiquant que « son ingénieur de sécurité était absent du bureau » et incapable de répondre pendant plusieurs jours. « Il est difficile d'imaginer qu'une réponse similaire soit tolérée par Microsoft ou Cisco ».