fbpx
ActualitésAppsHigh TechZoom

Une vulnérabilité de Zoom exposait les utilisateurs aux fausses invitations à des réunions de pirates

Un autre jour, un autre trou de sécurité Zoom. Le service de visioconférence a révélé qu’il avait corrigé une vulnérabilité qui aurait pu permettre à des attaquants d’usurper l’identité de comptes d’entreprise légitimes afin de hameçonner les informations d’identification des utilisateurs, de voler des données et d’infecter les employés avec des logiciels malveillants.

Le problème, découvert par la société de sécurité Check Point et divulgué à Zoom, résidait essentiellement dans la fonctionnalité « Vanity URL » de l’entreprise qui permet aux utilisateurs professionnels de générer des liens personnalisés pour les réunions – comme yourcompany.zoom.us. Malheureusement, une lacune dans la mise en œuvre a permis de truquer de telles invitations à l’insu des victimes potentielles.

Un attaquant pourrait créer un lien de réunion standard (comme https://zoom.us/j/##########) et simplement clouer sur le sous-domaine personnalisé de toute organisation légitime devant l’URL (votre entreprise). zoom.us/j/##########), et la réunion sera toujours accessible.

«Sans formation en cybersécurité sur la façon de reconnaître l’URL appropriée, un utilisateur recevant cette invitation peut ne pas reconnaître que l’invitation n’était pas authentique ou émise par une organisation réelle ou réelle», notent les chercheurs de Check Point.

« En utilisant l’une ou l’autre méthode, un pirate pourrait tenter de se faire passer pour un employé d’une organisation légitime via Zoom, et donner au pirate un vecteur pour voler des informations d’identification ou des informations sensibles », avertissent les chercheurs.

En plus d’usurper manuellement les liens des réunions, les attaquants pourraient également abuser de l’interface Web personnalisée de Zoom pour que les entreprises incitent les utilisateurs à entrer dans des réunions malveillantes.

«Un utilisateur peut entrer n’importe quel ID de réunion dans cet écran, qu’il ait été initialement planifié par l’employé de l’organisation ou non, et rejoindre la session Zoom appropriée», explique Check Point. «Un agresseur aurait pu inviter la victime à rejoindre la session via le site Web dédié, et la victime n’aurait eu aucun moyen de savoir que l’invitation ne provenait pas réellement de l’organisation légitime.»

Zoom a depuis corrigé les deux lacunes, mais il n’est pas clair si les pirates ont pu les exploiter dans la nature. Nous avons demandé à la société, et nous mettrons à jour cette pièce en conséquence si nous entendons de retour.

Malgré une croissance massive pendant le verrouillage du coronavirus, Zoom a également attiré une multitude de critiques pour ses mauvaises pratiques de sécurité et ses fausses allégations marketing. La société a prétendu à tort qu’elle était livrée avec un chiffrement de bout en bout, mais les chercheurs ont rapidement souligné que ce n’était pas le cas.

L’application iOS du service a également été prise en train de transmettre secrètement des données à Facebook, mais Zoom a ensuite extrait le code responsable de cela de son logiciel.

Afficher plus

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page