Zoom, le service de visioconférence qui a explosé dans le vide créé par l'épidémie de COVID-19, a subi la révélation d'une série de failles de confidentialité et de sécurité ces derniers jours. Maintenant, les chercheurs ont identifié une telle faille dans une fonctionnalité commercialisée spécifiquement comme un moyen de sécuriser les réunions.

Zoom a déclaré mercredi qu'il avait corrigé une vulnérabilité avec sa fonction Salle d'attente.

La fonctionnalité permet aux hôtes de réunion de garder les participants potentiels dans une file d'attente numérique en attente d'approbation. Les professionnels de la santé pourraient l'utiliser pour organiser plusieurs rendez-vous de télésanté d'affilée, et les responsables du recrutement pourraient mener des entretiens vidéo superposés, la société a suggéré dans un article de blog de février.

Comme les utilisateurs ont rencontré des problèmes avec le « zoomombing », par lequel les participants interrompent et font dérailler les réunions, souvent en utilisant des images offensantes ou des insultes racistes - l'entreprise a indiqué que la salle d'attente était un moyen de se protéger contre ce type d'intrusion.

Mais les chercheurs en sécurité examinant les vulnérabilités du client de bureau ont découvert que les serveurs Zoom enverraient automatiquement des données vidéo en direct aux utilisateurs dans la salle d'attente de la réunion, même si leur adhésion n'avait pas encore été approuvée par la personne qui tenait la réunion. Ces utilisateurs ont également reçu la clé de déchiffrement de la réunion, le code nécessaire pour déverrouiller les communications sécurisées. Les utilisateurs pourraient hypothétiquement extraire le flux vidéo en direct, les chercheurs ont dit.

"Si vous étiez moyennement sophistiqué techniquement, vous pouviez regarder ce qui se passait dans la salle d'attente, " a déclaré Bill Marczak, un boursier au Citizen Lab et un chercheur postdoctoral à l'UC Berkeley qui a découvert la vulnérabilité. Un flux audio de l'appel, cependant, n'était pas accessible.

Marczak a déclaré que lui et John Scott-Railton du Citizen Lab avaient informé Zoom la semaine dernière. Ils ont détaillé leurs conclusions dans un rapport publié mercredi, après avoir reçu un e-mail de la société indiquant que le problème avait été résolu.

Mercredi, Le directeur général de Zoom, Eric Yuan, a mentionné lors d'un webinaire organisé pour répondre aux problèmes de confidentialité que Zoom avait résolu un problème avec sa fonction de salle d'attente.

"Nous avons mis à jour notre serveur. La vulnérabilité de notre salle d'attente est déjà corrigée, " Yuan a déclaré sur le webinaire. " Du côté du serveur, nous n'avons pas envoyé de données audio et vidéo au client de la salle d'attente. Cependant, nous avons envoyé la clé de session ... . Nous ne pensions pas que c'était sûr, nous avons donc changé de serveur."

Le commentaire de Yuan ne correspondait pas à ce que Marczak et Scott-Railton ont trouvé, ils ont écrit. Le flux vidéo était auparavant accessible, bien que le problème ait été résolu depuis, dit Marczak.

Zoom n'a pas immédiatement répondu à une demande de commentaire sur cet écart.

©2020 Los Angeles Times
Distribué par Tribune Content Agency, LLC.