Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Check Point Research découvre des vulnérabilités chez Zoom Video Communications, Inc.

janvier 2020 par Check Point Research Team

Les mesures d’atténuation prises par l’entreprise résolvent le problème

Zoom est un leader dans le domaine des communications vidéo modernes pour entreprises. Il fournit une plate-forme dans le Cloud facile à utiliser pour les conférences audio et vidéo, la collaboration, le chat et les webinaires.

La plate-forme est utilisée sur appareils mobiles, ordinateurs de bureau, téléphones et systèmes pour salles de conférence, dans le cadre de comités, de réunions et de formations, ainsi que dans des bureaux de direction et des salles de classe.

Vous êtes-vous déjà demandé si quelqu’un pouvait espionner les réunions de votre entreprise et connaître vos plus grands secrets ? Imaginez un étranger assis discrètement juste à côté de vous dans la même pièce pendant que vous discutez de votre « prochain produit révolutionnaire ». Vous ne vous mettriez jamais dans une position aussi vulnérable, n’est-ce pas ?

Vous êtes-vous déjà demandé comment votre confidentialité est protégée lorsque vous utilisez un logiciel de collaboration dans le Cloud, tel que Zoom ?

Dans cet article, nous décrivons une technique qui aurait permis à des pirates de mener exactement ce type d’attaque, leur permettant d’assister à tout ce que vous dites ou montrez pendant une réunion.

Tous les détails abordés dans cet article ont été communiqués à Zoom de manière responsable. En réponse, Zoom a introduit un certain nombre de mesures d’atténuation, de sorte que cette attaque n’est plus possible.

Qu’avons-nous découvert ?

Vous savez peut-être déjà que les identifiants Zoom Meeting sont composés de 9, 10 ou 11 chiffres. Le problème est que si vous n’avez pas activé l’option « Exiger le mot de passe de la réunion » ou la salle d’attente qui permet l’admission manuelle des participants, ces 9, 10 ou 11 chiffres sont la seule chose qui protège votre réunion, c’est-à-dire qui empêche une personne non autorisée de s’y connecter.

Nos chercheurs sont capables de prédire environ 4 % des identifiants de réunion générés aléatoirement, ce qui représente une très bonne chance de réussite, par rapport à des méthodes de brute force !

Atténuation

Nous avons contacté Zoom en juillet 2019 dans le cadre d’un processus de communication responsable, et avons proposé les mesures d’atténuation suivantes :

 1. Réimplémenter l’algorithme de génération des identifiants de réunion.

 2. Remplacer la fonction de randomisation par une fonction cryptographique forte.

 3. Augmenter le nombre de chiffres/symboles dans les identifiants de réunion.

 4. Obliger les hôtes à utiliser des mots de passe/PIN/SSO à des fins d’autorisation.

Les représentants de Zoom ont été très coopératifs et ont répondu rapidement à nos emails. Ils ont apporté un certain nombre de changements pour remédier suffisamment à cette vulnérabilité.

Lire l’étude complète : https://research.checkpoint.com/2020/zoom-zoom-we-are-watching-you/


Voir les articles précédents

    

Voir les articles suivants