Publié par UnderNews Actu - Télécharger l'application Android

Zoom est un leader dans le domaine des communications vidéo modernes pour entreprises. Il fournit une plate-forme dans le Cloud facile à utiliser pour les conférences audio et vidéo, la collaboration, le chat et les webinaires. Les mesures d’atténuation prises par l’entreprise résolvent le problème.

La plate-forme est utilisée sur appareils mobiles, ordinateurs de bureau, téléphones et systèmes pour salles de conférence, dans le cadre de comités, de réunions et de formations, ainsi que dans des bureaux de direction et des salles de classe.

Vous êtes-vous déjà demandé si quelqu’un pouvait espionner les réunions de votre entreprise et connaître vos plus grands secrets ? Imaginez un étranger assis discrètement juste à côté de vous dans la même pièce pendant que vous discutez de votre « prochain produit révolutionnaire ». Vous ne vous mettriez jamais dans une position aussi vulnérable, n’est-ce pas ?

Vous êtes-vous déjà demandé comment votre confidentialité est protégée lorsque vous utilisez un logiciel de collaboration dans le Cloud, tel que Zoom ?

ExpressVPN

Dans cet article, nous décrivons une technique qui aurait permis à des pirates de mener exactement ce type d’attaque, leur permettant d’assister à tout ce que vous dites ou montrez pendant une réunion.

Tous les détails abordés dans cet article ont été communiqués à Zoom de manière responsable. En réponse, Zoom a introduit un certain nombre de mesures d’atténuation, de sorte que cette attaque n’est plus possible.

Qu’a t-il été découvert ?

Vous savez peut-être déjà que les identifiants Zoom Meeting sont composés de 9, 10 ou 11 chiffres. Le problème est que si vous n’avez pas activé l’option « Exiger le mot de passe de la réunion » ou la salle d’attente qui permet l’admission manuelle des participants, ces 9, 10 ou 11 chiffres sont la seule chose qui protège votre réunion, c’est-à-dire qui empêche une personne non autorisée de s’y connecter.

Les chercheurs sont capables de prédire environ 4 % des identifiants de réunion générés aléatoirement, ce qui représente une très bonne chance de réussite, par rapport à des méthodes de brute force !

Atténuation

Nous avons contacté Zoom en juillet 2019 dans le cadre d’un processus de communication responsable, et avons proposé les mesures d’atténuation suivantes :

  1. Ré-implémenter l’algorithme de génération des identifiants de réunion.
  2. Remplacer la fonction de randomisation par une fonction cryptographique forte.
  3. Augmenter le nombre de chiffres/symboles dans les identifiants de réunion.
  4. Obliger les hôtes à utiliser des mots de passe/PIN/SSO à des fins d’autorisation.

Les représentants de Zoom ont été très coopératifs et ont répondu rapidement à nos emails.  Ils ont apporté un certain nombre de changements pour remédier suffisamment à cette vulnérabilité.

Vous avez aimé cet article ? Alors partagez-le en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin Pinterest email
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Pas encore noté)
Loading...

Mots clés : , , ,


Vos réactions




Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.