Apple aurait déployé dans la journée d’hier une mise à jour silencieuse destinée à supprimer le serveur Web masqué installé par le logiciel de visioconférence Zoom. La présence du serveur Web a été révélée en début de semaine par un chercheur en sécurité. Il a expliqué comment l’application de visioconférence Zoom avait installé un serveur Web masqué sur les Mac, laissant les utilisateurs vulnérables au piratage de leurs webcams. Bien que Zoom ait annoncé sur son site avoir déployé un correctif pour résoudre le problème, Apple n’a pas eu d’autres choix que de supprimer le serveur pour protéger ses utilisateurs afin de s'assurer que le problème a été définitivement résolu.En début de semaine, Jonathan Leitschuh, chercheur en sécurité, a décrit la présence d’un serveur Web masqué installé par le client Zoom, comportant une faille qui pourrait laisser les sites Web prendre le contrôle de la caméra de votre Mac. D’après les explications qu’il a fournies, lorsque vous installez l'application Zoom sur votre Mac, elle installe également un serveur Web qui « accepte les requêtes que les navigateurs classiques n'accepteraient pas ». C'est ce serveur Web qui est apparemment à l'origine de la vulnérabilité. Le serveur Web Zoom s’exécute en arrière-plan et donne la possibilité à tout site Web de « joindre de force un utilisateur à un appel Zoom, avec sa caméra vidéo activée, sans la permission de l'utilisateur ».
Une autre chose jugée encore plus critique dans cette vulnérabilité par Leitschuh est que le serveur Web Zoom, non documenté, reste installé même si un utilisateur désinstalle l’application de visioconférence Zoom. Selon Leitschuh, cela permettait à Zoom de réinstaller l'application sans aucune intervention de l'utilisateur. « En outre, si vous avez déjà installé le client Zoom, puis l’avoir désinstallé, vous disposez toujours d’un serveur Web local sur votre ordinateur qui réinstallera volontiers le client Zoom pour vous, sans nécessiter d’interaction de la part de l’utilisateur autre que la visite d’une page Web. Cette fonctionnalité de réinstallation continue de fonctionner à ce jour », a-t-il expliqué.
Selon sa description du problème sur Medium, Leitschuh a tout d'abord révélé la vulnérabilité de Zoom en mars. Ensuite, indique-t-il, la vulnérabilité aurait été corrigée à un moment donné, mais une régression survenue ce mois-ci lui a permis de fonctionner à nouveau. Zoom a annoncé avoir fixé la régression dans journée du mardi dans un billet de blog. « Nous apprécions le travail acharné du chercheur en sécurité pour identifier les problèmes de sécurité sur notre plateforme. En conséquence, nous avons décidé de mettre à jour notre service ». Cependant, Leitschuh a toujours découvert une solution de contournement. Selon lui, Zoom manque de « capacités suffisantes de mise à jour automatique », ce qui signifie qu'il reste encore des utilisateurs exécutant des versions plus anciennes de l'application.
Il a par la suite proposé une solution pour se débarrasser du serveur et être sûr d’être protégé contre la vulnérabilité. Il a expliqué que le moyen le plus simple consiste à ouvrir la fenêtre des paramètres de Zoom et à activer le paramètre « Désactiver ma vidéo lorsque je participe à une réunion ». Vous pouvez également exécuter une série de commandes dans le Terminal, a-t-il ajouté, pour désinstaller complètement le serveur Web. Dans sa description, il a proposé une série de tests que vous pourrez effectuer pour vous rendre compte de la vulnérabilité, mais cela risque de ne plus fonctionner, car Apple a déclaré mercredi qu’il a déployé une mise à jour silencieusement pour résoudre la totalité du problème.
D’après les explications d’Apple, la mise à jour est silencieuse et son installation ne nécessitait aucune interaction de la part de l’utilisateur. Le but principal de la mise à jour est le serveur Web masqué installé par l’application de visioconférence Zoom, sans affecter ou entraver les fonctionnalités de l'application Zoom elle-même. L’on estime qu’Apple force souvent les mises à jour de signatures silencieuses sur les Mac à contrecarrer les malwares connus. Ces mises à jour sont semblables à des services anti-malwares, mais il est rare qu'Apple agisse publiquement contre une application connue ou populaire. La firme de Cupertino a déclaré avoir lancé cette mise à jour afin de protéger ses utilisateurs des risques posés par le serveur Web exposé.
De plus, cette mise à jour se révèle être nécessaire, car la vulnérabilité affectait toujours les utilisateurs qui ont désinstallé complètement l'application Zoom. Pour sa part, Zoom a déclaré avoir installé le serveur Web pour permettre aux utilisateurs de rejoindre des réunions Zoom en un clic. Cependant, il s’est avéré que ce serveur Web a laissé les utilisateurs de Zoom vulnérables au piratage de leurs webcams, comme l’a expliqué lundi le chercheur en sécurité Jonathan Leitschuh. L’entreprise s’est ensuite réjouie d’avoir collaboré avec Apple dans la résolution du problème, tout en présentant ses excuses à ses utilisateurs.
« Nous sommes heureux d’avoir travaillé avec Apple pour tester cette mise à jour. Nous nous attendons à ce que le problème du serveur Web soit résolu aujourd'hui. Nous apprécions la patience de nos utilisateurs alors que nous continuons à travailler pour répondre à leurs préoccupations », a déclaré Priscilla McCarthy, porte-parole de Zoom.
Sources : 9To5Mac, Zoom
Et vous ?
Qu'en pensez-vous ?Voir aussi
Ordinateurs Mac : une faille de sécurité zero-day a été détectée sur le logiciel zoom et pourrait permettre aux sites Web de détourner la caméra Des chercheurs en sécurité ont découvert d'autres applications du Mac App Store en train de voler des données utilisateur et ont été supprimées Une Application Mac Adware Doctor prise en train de voler les historiques de navigation des utilisateurs et supprimée de Mac App Store