Zoom : un chercheur en sécurité découvre plusieurs failles dans le processus de mise à jour automatique

Plusieurs failles de sécurité découverte dans Zoom. Via le processus de mise à jour automatique, des hackers peuvent récupérer le contrôle de la machine de la victime.

L’option de mise à jour automatique de Zoom aide les utilisateurs à s’assurer qu’ils disposent toujours de la dernière version en date du logiciel de vidéoconférence, lequel a souffert d’un certain nombre de soucis de confidentialité et de sécurité ces dernières années. Un spécialiste de la sécurité sur Mac a découvert plusieurs failles dans l’outil de mise à jour automatique qui aurait permis à des personnes malintentionnées d’obtenir le contrôle total de la machine de leur victime.

Plusieurs failles de sécurité découverte dans Zoom

Patrick Wardle a présenté ses découvertes durant la conférence DefCon de cette année. Selon Wired, deux d’entre elles ont été dévoilées. La première a été trouvée dans le processus de vérification de la signature de l’app, qui permet de s’assurer de l’intégrité de la mise à jour à installer pour s’assurer que cette dernière est totalement légitime. Cela permet d’éviter qu’un attaquant vienne faire croire à l’installeur qu’il peut installer n’importe quoi.

Via le processus de mise à jour automatique

Patrick Wardle a découvert que des hackers pouvaient contourner la vérification de signature en nommant d’une certaine manière leurs fichiers. Une fois à l’intérieur, ils peuvent obtenir l’accès root et contrôler la machine de leur victime. The Verge explique que le chercheur a communiqué l’existence de cette faille à Zoom en décembre 2021, mais le correctif contenait une autre faille. La seconde vulnérabilité aurait pu donner aux hackers un moyen de contourner le garde-fou mis en place par Zoom pour s’assurer que le processus de mise à jour vient bien installer la dernière version en date de l’app. Patrick Wardle a découvert qu’il était possible de duper un outil facilitant la distribution de la mise à jour de Zoom pour lui faire accepter une version plus ancienne du logiciel.

des hackers peuvent récupérer le contrôle de la machine de la victime

Zoom a déjà corrigé cette faille aussi, mais l’expert a trouvé une autre vulnérabilité, présentée, elle aussi, durant la conférence. À un moment donné, entre la vérification du package par l’auto-installeur et le processus d’installation en lui-même, il est possible d’injecter du code malveillant dans la mise à jour. Un package téléchargé qui doit être installé peut apparemment retenir ses permissions de lecture/écriture originales, permettant à quiconque de les modifier. Cela signifie que même des utilisateurs sans accès root peuvent échanger le contenu avec du code malveillant et prendre le contrôle de la machine cible.

L’entreprise a déclaré à The Verge qu’elle travaillait sur un correctif pour cette nouvelle vulnérabilité mise au jour par l’expert. Comme Wired le précise, les attaquants doivent déjà disposer d’un accès à la machine de l’utilisateur pour pouvoir exploiter ces failles. Même s’il n’y a pas de danger immédiat pour la majorité des utilisateurs, Zoom recommande de toujours “rester à jour avec la dernière version en date” de l’app. Cela permet notamment de profiter du chiffrement de bout en bout.