Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Felix Seele de VMRay dévoile comment Zoom s'installe sur macOS sans que vous ayez cliqué sur le bouton « installer »
Une pratique louche utilisée par de véritables malwares, selon le responsable

Le , par Olivier Famien

588PARTAGES

5  0 
Depuis que le monde est passé en mode confinement, les individus, les entreprises et même les établissements éducatifs se sont massivement tournés vers les applications de travail à distance pour continuer leurs activités. Parmi ces applications, Zoom est le service de vidéoconférence qui fait le plus parler de lui depuis que les hommes et les femmes sont contraints de rester à domicile en attendant la fin de la crise sanitaire.

VMRay, une entreprise de sécurité informatique, n’a pas fait exception à la règle et a également demandé à son équipe d’installer Zoom afin de continuer ses activités professionnelles. Felix Seele, responsable technique chez VMRay, a donc installé Zoom sur son ordinateur Mac. Comme pour toutes les installations d’un programme sur macOS, lorsque vous cliquez sur le paquet pkg, le système avertit l’utilisateur qu’il effectuera des vérifications pour déterminer si le logiciel peut être installé, comme l’image ci-dessous le montre.


En cliquant sur le bouton « ;Continuer ;», vous serez dirigé sur une autre fenêtre pour valider l’emplacement de l’installation. Après cette étape, vous serez dirigé vers la fenêtre d’installation et lorsque vous cliquerez sur le bouton de validation, l’installation à proprement parler débutera. En principe si vous avez suivi correctement toutes les étapes jusqu’à la fin, Zoom devrait s’installer sur votre système sans problème.

Toutefois, Seele souligne que si vous avez cliqué sur le bouton « ;Continuer ;» qui apparaît sur la fenêtre qui annonce que macOS vérifiera si le logiciel peut être installé, et que vous abandonnez l’installation, le programme s’installe quand même. Seele explique que ce que vous devez savoir, c’est que dès que vous cliquez sur le bouton apparaissant sur l’image ci-dessus, au lieu de ne faire que des vérifications de préinstallation, le programme d’installation de Zoom effectue toute l’installation du programme.

Pour mieux comprendre ce qui se passe sous le capot, Seele qui s’est penché sur cette anomalie, rapporte qu’en fait l’entreprise Zoom abuse des scripts de préinstallation pour installer l’application avant même qu’il ait été demandé à l’utilisateur d’installer le programme. Pour ce faire, le programme utilise 7zip qui est intégré au paquet du programme pour décompresser manuellement l’application une fois que l’utilisateur clique sur le bouton pour confirmer la vérification d’avant installation. Ensuite, l’application décompressée est installée à l’aide d’un script dans le répertoire /Applications.


Si l’utilisateur est dans le groupe Admin, ce qui est vrai dans la plupart des cas, et si l’utilisateur n’est pas limité par le service informatique de l’entreprise, des privilèges élevés (« ;root ;») ne sont pas requis pour installer l’application dans le répertoire par défaut / Applications. Si par contre l’utilisateur n’a pas les droits appropriés pour écrire dans le répertoire par défaut /Applications et que le client Zoom n’est pas déjà installé, l’application sera copiée dans le répertoire d’application local à l’emplacement suivant : /Users /<username>/Applications.


Enfin, si le client Zoom est déjà installé dans / Applications, mais que l’utilisateur en cours n’a pas le droit de le mettre à jour, le script lancera un outil d’aide appelé « ;zoomAutenticationTool ;» (sic) qui fait également partie du fichier pkg. Cet outil utilise la fameuse et obsolète API système AuthorizationExecuteWithPrivileges() pour afficher une invite de mot de passe afin d’exécuter le script « ;runwithroot ;» également fourni avec les privilèges root.


Il n’est pas rare que les applications macOS demandent temporairement des privilèges root, par exemple, pour installer un service persistant ou démarrer un outil d’assistance privilégié. Cependant, Seele souligne que dans ce cas, le programme d’installation de Zoom remplace le message affiché dans l’invite de mot de passe. Au lieu d’afficher un message de type « ;Zoom a besoin de votre mot de passe pour mettre à jour l’application existante ;», il utilise le message : « ;Le système a besoin de vos privilèges pour changer ;» (sic). Cela donne l’impression que le système d’exploitation demande le mot de passe de l’utilisateur alors qu’il s’agit en fait du programme d’installation de Zoom. Cette attitude est trompeuse dans tous les cas de figure mentionnés. Pour Seele, c’est un cas clair de « ;bonnes applications qui se comportent mal ;».

En principe, lorsqu’un utilisateur ouvre le fichier pkg, il s’attend à donner son consentement avant l’installation. Au lieu de cela, Zoom effectue cette opération instantanément sans autre confirmation. Pour Seele, l’on peut comparer cette situation à un conducteur qui met la clé de la voiture dans le contact, mais au lieu que la radio s’allume et que le moteur démarre, la voiture commence à rouler toute seule. Selon le responsable technique, le second problème, plus grave, est l’invite de mot de passe. Pour Seele, Zoom usurpe l’identité du système pour tromper l’utilisateur avec la technique du « ;social-engineering ;» afin qu’il entre son mot de passe dans le champ affiché. Même si Zoom ne capture pas le mot de passe en texte brut, mais demande juste « ;l’autorisation ;» du système d’exploitation pour exécuter quelque chose en tant que root, c’est une pratique louche utilisée par de véritables logiciels malveillants macOS (comme Coldroot et Proton) qui prétendent souvent être un processus Apple.

Après avoir découvert ces incohérences, Seele a averti les utilisateurs de Zoom sur Twitter. Cela a fait réagir Eric S. Yuan, le fondateur et CEO de Zoom, qui déclara ceci : « ;Merci pour votre avis ;! Nous avons mis cela en œuvre pour équilibrer le nombre de clics compte tenu des limites de la technologie standard. Rejoindre une réunion à partir d’un Mac n’est pas facile, c’est pourquoi cette méthode est utilisée par Zoom et d’autres. Votre point est bien compris et nous continuerons de nous améliorer ;».


Source : Twitter, VMRay

Et vous ?

Utilisez-vous Zoom ;? Avez-vous déjà été confronté à des pratiques dans l’application qui vous ont dérangés du point de vue de la sécurité ;?

Que pensez-vous de cette découverte ;? De quoi remettre en cause l’utilisation de Zoom ;?

Que pensez-vous des arguments du CEO de Zoom pour justifier la mauvaise implémentation du processus d’installation de Zoom ? Sont-ils recevables ?

Voir aussi

L’éditeur de l’application de vidéoconférence Zoom poursuivi en justice pour avoir transmis les données des utilisateurs à Facebook via son SDK « ;Facebook Login ;»
L’éditeur de l’application de vidéoconférence Zoom retire le code du SDK Facebook de la version iOS, car celui-ci transférait les données des utilisateurs vers le réseau social
Les applications de téléconférence et les nouvelles technologies font l’objet d’une forte demande, dans le contexte de l’épidémie de coronavirus
La préversion publique du client lourd de Microsoft Teams pour Linux est d’ores et déjà disponible, pour les distributions basées sur Debian et Red Hat

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Eric80
Membre averti https://www.developpez.com
Le 08/04/2020 à 15:17
Teams est utlisé depuis un bon moment déjà ds bcp d entreprises, donc il est probable que les failles de sécurités y soient analysées aussi depuis plus longtemps.

Je trouve hallucinant comment zoom est devenue LA plateforme en quelques semaines, et que tout le monde s'y met avec des failles aussi béantes que ce zoombombing.
Preuve que > 80% (à la louche) des utilisateurs ne se soucient guère des pbs de sécurité, car ils n y sont pas initiés.

QQues pistes sur la popularité de Zoom:
https://www.businessinsider.com/zoom...?r=US&IR=T

Avec le renaming de Office 365 en Microsoft 365, Teams devient offert au gd public: probable que le succès de Zoom et surtout le confinement généralisé sont des motivations fortes pour MS de fournir Teams pour tous.
2  0 
Avatar de el_slapper
Expert éminent sénior https://www.developpez.com
Le 08/04/2020 à 7:54
ma boite (américaine) vient de proscrire Zoom pour les communications internes. Je suppose que ce n'est pas un hasard. On utilise Teams- mais je ne sais pas si c'est plus sécurisé, ou si les failles ne sont pas encore connues...
1  0