Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Check Point s’associe à Zoom pour contrer la menace liée aux URL personnalisées

juillet 2020 par Marc Jacob

Tandis que le monde commence à émerger du confinement lié au coronavirus et que les entreprises continuent de recourir au télétravail pour leurs collaborateurs, se connecter à des conférences Zoom fait désormais partie de notre quotidien. Le service de vidéoconférence était déjà populaire avant la pandémie, mais avec la « nouvelle normalité » de la distanciation sociale, Zoom est devenu la plateforme de référence au niveau mondial pour toutes sortes d’activités : réunions gouvernementales et réunions d’affaires de haut niveau, classes dans les écoles et les universités, et même des réunions familiales. Cela signifie que l’utilisation de Zoom a monté en flèche, passant de 10 millions de participants à des réunions par jour en décembre 2019 à plus de 300 millions en avril 2020.

Une étude menée par : Adi Ikan, Liri Porat et Ori Hamama

Bien sûr, là où les gens vont, les criminels suivent. Il n’est donc pas surprenant que la croissance explosive de l’utilisation de Zoom ait été égalée par une augmentation du nombre d’enregistrements de nouveaux domaines, avec des noms incluant le mot Zoom, comme preuve que les cybercriminels utilisent les domaines Zoom comme appât pour attirer des victimes. Nous avons également détecté des fichiers malveillants se faisant passer pour le programme d’installation de Zoom.

Dans le cadre de nos efforts permanents pour répondre aux développements du paysage des menaces et contribuer à la communauté mondiale de la cybersécurité, nous avons collaboré avec Zoom Video Communications pour trouver des moyens de garantir que ses utilisateurs puissent profiter de tous ses avantages en toute sécurité. En janvier 2020, nous avons décrit une technique qui aurait permis à des pirates d’identifier et de participer à des réunions actives pour lesquelles ils n’étaient pas invités. Dans le cadre de notre coopération, Zoom a rapidement mis en place un certain nombre de mesures d’atténuation qui ont permis de faire en sorte que de telles attaques ne soient plus possibles.

Et récemment, nous avons découvert un autre problème de sécurité potentiel, comme décrit ci-dessous, qui aurait pu conduire à des tentatives réussies de phishing. Grâce à notre collaboration continue et au signalement du problème par Check Point, Zoom a résolu le problème en y apportant une solution.

Le coût de la personnalisation

Une des caractéristiques de Zoom est la possibilité de créer une URL personnalisée, décrite comme suit sur le site web de Zoom : une URL personnalisée peut par exemple inclure le nom de votre entreprise, telle que votreentreprise.zoom.us. L’entreprise peut également ajouter un site web dédié et personnalisé pour ce service.

Le mécanisme des URL personnalisées permet aux entreprises de créer une version spécifique des liens d’invitation à des conférences Zoom. Avant la correction apportée par Zoom, un pirate pouvait tenter de se faire passer pour l’URL personnalisée d’une entreprise et envoyer des invitations qui semblaient légitimes afin de tromper une victime. Le pirate aurait également pu rediriger la victime vers un sous domaine avec un site web dédié, dans lequel la victime aurait pu saisir son identifiant de réunion correspondant, sans soupçonner que l’invitation ne provenait pas de l’entreprise légitime.

Le problème de sécurité avec le mécanisme des URL personnalisées

La question de la sécurité concerne les fonctionnalités des sous-domaines décrites ci-dessus. Il existe plusieurs façons d’entrer dans une réunion contenant un sous-domaine, notamment en utilisant un lien direct avec un sous-domaine contenant l’ID de la réunion, ou en utilisant l’interface web du sous-domaine personnalisé de l’entreprise. Examinons chacune de ces options tour à tour.

Lien direct Ce scénario visait les URL personnalisées. Lors de la création d’une réunion, un pirate peut modifier l’URL du lien d’invitation pour y inclure un sous-domaine enregistré. Par exemple, si le lien d’invitation d’origine était https://zoom[.]us/j/7470812100, le pirate pouvait le modifier en https://[.]zoom[.]us/j/7470812100. Une victime recevant une telle invitation n’aurait eu aucun moyen de savoir que l’invitation ne provenait pas réellement de l’entreprise en question.

Le pirate aurait également pu changer le lien de /j/ à /s/ : https://[.]zoom[.]us/s/7470812100 . Étant donné qu’il existe des cas où les logos des entreprises apparaissent lors de la saisie d’une telle URL, cela aurait pu ajouter une couche supplémentaire de supercherie. De plus, en cliquant sur le bouton « Se connecter pour commencer », la victime pouvait souvent être redirigée vers le portail légitime de l’entreprise. Ce problème permet d’usurper l’identité des entreprises grâce à la fonctionnalité des URL personnalisées.

Impact

Il existe de nombreux scénarios quotidiens qui auraient pu être exploités en utilisant cette méthode d’usurpation d’identité, afin d’aboutir à une tentative réussie de phishing, en particulier si elle est utilisée pour usurper l’URL Zoom personnalisée d’une entreprise.

Par exemple, un pirate pourrait se présenter comme étant un collaborateur légitime de l’entreprise, en envoyant une invitation à partir de l’URL personnalisée à des clients pertinents afin de gagner en crédibilité. Cette activité aurait alors pu être mise à profit pour dérober des identifiants et des informations sensibles, ainsi que pour d’autres actions malveillantes.

Atténuation et résumé

Tous les détails concernant la manière dont un pirate pourrait détourner l’adresse du sous-domaine Zoom d’une entreprise ou le site web du sous-domaine en question ont été communiqués de manière responsable à Zoom Video Communications, Inc. dans le cadre de notre partenariat et de notre coopération. Ce problème de sécurité a été résolu par Zoom, et les vulnérabilités décrites ne sont plus exploitables.

Adi Ikan, le responsable du groupe d’études et de protection réseau de Check Point déclarait : « Notre partenariat avec Zoom a permis aux utilisateurs de Zoom dans le monde entier de bénéficier d’une expérience de communication plus sûre, plus simple et plus fluide. CP s’efforce d’améliorer la sécurité des technologies et des infrastructures, et d’une manière générale d’enrichir la communauté de la cybersécurité. Nous poursuivrons ces efforts en nous rapprochant de leaders tels que Zoom.

Il est à noter que 90 % des cyberattaques débutent par un email de phishing. Pour veiller à protéger de manière adéquate les vecteurs d’attaque de votre entreprise, nous vous suggérons de consulter le livre blanc Les humains sont votre maillon le plus faible afin de découvrir le risque quotidien posé par les emails de phishing.




Voir les articles précédents

    

Voir les articles suivants