La société de recherche en cybersécurité Check Point Research indique dans un rapport publié aujourd’hui qu’elle a découvert des failles de sécurité dans la plateforme de vidéoconférence Zoom qui auraient permis à un pirate potentiel de rejoindre une réunion vidéo sans y être invité et d’écouter, d’accéder potentiellement à tous les fichiers ou informations partagés pendant la réunion. Bien que Zoom ait abordé la question, le rapport soulève des préoccupations plus profondes concernant la sécurité des applications de vidéoconférence qui nécessitent un accès aux microphones et aux caméras.

Chaque appel Zoom a un numéro d’identification généré aléatoirement entre 9 et 11 chiffres qui est utilisé par les participants comme une sorte d’adresse pour localiser et rejoindre un appel spécifique. Les chercheurs de Check Point ont trouvé un moyen de prédire quelles réunions étaient valides environ 4% du temps, et il a pu en rejoindre certaines, explique Yaniv Balmas, responsable de la cyber-recherche à Check Point. (Ils n’ont pas plongé eux-mêmes dans les réunions, a souligné Balmas. Ils ont plutôt mis fin aux appels sur les écrans de la «salle d’attente».)

«C’était un peu comme la roulette Zoom, ”Balmas a dit The Verge . « Les implications seraient, si vous avez un chat vidéo et que plusieurs membres se joignent, vous ne remarquerez peut-être pas si quelqu’un qui n’est pas censé être là est assis là à vous écouter. »

Étant donné que les conférences téléphoniques Zoom peuvent accueillir «des dizaines de milliers» de participants à une réunion, selon l’introduction en bourse de mai de la société, il ne serait pas difficile pour un attaquant de se faufiler dans un appel Zoom inopiné s’il n’y avait aucune mesure de filtrage en place.

Check Point n’a pas trouvé de moyen de connecter un ID de réunion Zoom à un utilisateur spécifique. Ainsi, même si un mauvais acteur avait accès à une réunion au hasard, il ne saurait pas nécessairement de qui il s’agissait avant de rejoindre l’appel. Les chercheurs n’ont pas trouvé que quelqu’un accédant à une réunion Zoom aurait accès aux caméras ou microphones d’autres utilisateurs.

Check Point a révélé la vulnérabilité de Zoom, et il dit que l’entreprise a répondu rapidement pour résoudre le problème. Il a remplacé la génération aléatoire de numéros d’identification de réunion par une génération «cryptographiquement solide», a ajouté plus de chiffres aux numéros d’identification de réunion et a rendu l’exigence de mots de passe par défaut pour les réunions futures. (Un appel Zoom avec Check Point pour discuter de la recherche ne m’a pas obligé à entrer un mot de passe avant de rejoindre, cependant.)

Il n’est plus possible de rechercher ID de réunion aléatoires comme les chercheurs de Check Point l’ont fait; chaque tentative de connexion chargera une page de réunion et les tentatives répétées d’essayer de rechercher des ID de réunion bloqueront temporairement cet appareil de la plateforme.

A Zoom Le porte-parole a déclaré que le problème identifié par Check Point avait été résolu en août, ajoutant que la confidentialité et la sécurité de ses utilisateurs étaient sa priorité absolue. « Nous remercions l’équipe de Check Point pour partager ses recherches et collaborer avec nous », a déclaré la société.

Zoom-basé à San Jose, fondé en 2011 , a une capitalisation boursière d’un peu moins de 20 milliards de dollars et des clients dans plus de 180 pays. La société a déclaré lors de son annonce de résultats du troisième trimestre le mois dernier que sa base de clients comprenait 74 000 entreprises de taille significative, mesurées comme une entreprise de plus de 10 employés.

L’été dernier, le chercheur en sécurité Jonathan Leitschuh a découvert une vulnérabilité zero-day dans Zoom sur Mac qui aurait pu permettre à un mauvais acteur de détourner la caméra d’un utilisateur et l’alimentation en direct. L’entreprise a finalement cessé d’utiliser le serveur Web local qui a créé la vulnérabilité, mais pas après l’avoir d’abord défendue comme une situation «à faible risque».

Balmas a déclaré que les chercheurs de Check Point se sont concentrés spécifiquement sur Zoom et ses numéros d’identification de réunion et n’ont pas cherché à savoir si la vulnérabilité serait présente dans d’autres des programmes de chat vidéo comme Google Hangouts ou Skype. Mais il a averti que toute plate-forme de vidéoconférence comporte des risques inhérents, même si les utilisateurs prennent les précautions de sécurité nécessaires.

«Nous n’avons pas examiné [other videoconferencing platforms], mais ce que nous avons trouvé ici est un cri à eux », a-t-il déclaré. «Vous devez faire attention à ce genre de choses, aux moyens auxquels les utilisateurs non autorisés peuvent accéder, à toute application qui a accès à votre microphone ou à votre caméra.»