Comprendre les failles de Zoom
Source:
Avec la montée de popularité soudaine de Zoom, la sécurité de la plateforme a été durement mise à l’épreuve. Depuis quelques semaines, les articles concernant failles et problèmes circulent abondamment. Avec cette marée d’informations, il est difficile d’avoir un portrait juste de la situation. Certains articles sont trop techniques et on s’y perd, d’autres simplifient tellement que des informations pertinentes sont omises.
Afin de s’y retrouver, nous vous présentons un portrait vulgarisé de chacune des failles, incluant :
- une description succincte,
- une description plus détaillée,
- la réaction de la compagnie,
- la progression de la correction des failles,
- ainsi qu’une section pour vous aider à vous protéger.
Veuillez prendre note que cet article est en construction, les failles les plus importantes et sensibles y figurent. Cette page sera régulièrement mise à jour pour tenir compte de l’évolution de la situation.
La méthode de chiffrement/cryptage
Description
Courte
Contrairement à ce que Zoom annonçait dans ses communications, la méthode de chiffrement utilisée n'est pas de bout en bout (end-to-end). Ce type de chiffrement n’est pas optimal pour les discussions contenant des informations sensibles.
Plus détaillée
Zoom utilise un chiffrement AES mode ECB qui est parmi les plus faibles. Celui-ci n'est pas assez aléatoire et laisse certains patterns, ce qui n'est pas souhaitable. Idéalement, une méthode de chiffrement optimale serait complètement aléatoire et aucunement prévisible. Ajoutons aussi qu'il ne s'agit pas d'un chiffrement de bout en bout, mais plutôt d'un chiffrement dit de transport, du même type que le chiffrement utilisé pour les sites web sécurisés (https:// ). Qu'est-ce que ça veut dire? Qu'une personne qui essayerait de vous espionner via votre réseau Wi-Fi n'aurait pas accès à l'audio et la vidéo de vos rencontres. Par contre, Zoom y a accès. Donc, techniquement parlant, Zoom aurait la capacité de vous espionner.
Réaction de Zoom
La compagnie a publié un article pour s'excuser de la «confusion». Zoom utilisait en fait sa propre définition de chiffrement «bout en bout»...!
Progression de la correction
À suivre...
Que faire pour réduire les risques ?
Si vous êtes ou si avez à travailler avec des personnes dont l'intégrité physique, morale ou psychologique pourrait être mise en jeu (victimes de violence conjugale, personnes sans statut ou travailleur-euse-s du sexe, par exemple), nous conseillons d'utiliser une autre plateforme que Zoom. Pour plus d'information quant à quels outils utiliser, consultez notre comparatif des outils de visioconférence.
Pour les autres, les risques demeurent relativement faibles. Évitez simplement de communiquer des informations sensibles lors de vos communications Zoom.
L'application iOS qui envoie vos informations à Facebook (Corrigée)
Description
Courte
La version iOS de l'application mobile Zoom envoyait les informations à Facebook, que l'utilisateurice ait un compte sur le réseau social ou pas.
Plus détaillée
Dans le but de faciliter la connexion à l'application (sur iOS), Zoom a utilisé la trousse de développement logiciel Facebook pour iOS pour ajouter la fonctionnalité permettant de se connecter via son compte Facebook. Cette trousse de développement logiciel collectait alors des données qui étaient complètement inutiles au bon fonctionnement de l'application et les envoyait à Facebook. Les informations récoltées par la trousse de développement logiciel Facebook concernent surtout l'appareil—modèle, fournisseur de téléphonie, version iOS, fuseau horaire, résolution de l'écran, espace disque et information sur le processeur. Zoom assure que les informations recueillies par la trousse n'incluent aucune information sur les activités reliée aux réunions.
Réaction de Zoom
L'application a été mises à jour et la partie du code concernée, c'est à dire la fonctionnalité de connexion via votre compte Facebook, a été retirée.
Progression de la correction
Le 27 mars 2020, on annonce que la faille est corrigée.
Que faire pour réduire les risques ?
Le cas de Zoom n'est malheureusement pas une exception. Il n'est pas rare de voir des applications envoyer des données à Facebook. Comme on peut voir dans ce cas-ci, c'est en utilisant une trousse de développement logiciel fournie par Facebook que les données se sont retrouvées entre les mains de ces derniers. Pour éviter que vos données se rendent à Facebook, abstenez-vous d'utiliser des applications intégrant la fonctionnalité de connexion via son compte Facebook. Évitez aussi d'avoir les applications appartenant à Facebook sur votre appareil.
Windows et les hyperliens (Corrigée)
Description
Courte
Des adresses UNC*—à ne pas confondre avec les adresses URL—partagées dans le chat permettaient de voler les informations de connexion Windows de la personne cliquant sur ceux-ci.
*On appelle aussi les adresses UNC chemins d'accès. Un chemin d'accès indique l'emplacement d'un fichier ou répertoire dans le système de fichiers du système d'exploitation et commence typiquement par \\.
Plus détaillée
Lorsqu'on partage une adresse dans le chat de Zoom, celui-ci est automatiquement convertie en hyperlien et devient cliquable. Cette conversion, lorsqu'il s'agit d'adresse URL (l'adresse d'un site internet, par exemple), est souhaitable. Mais, sur Windows, l'application Zoom convertissait aussi les chemins d'accès (adresse UNC) en hyperlien, et là était tout le problème.
Une personne ayant les connaissances nécessaires pouvait utiliser la faille à son avantage pour faire une attaque appelée injection d'UNC (ou de chemin d'accès). Le principe est de créer un chemin d'infiltration pour accèder aux informations d'indentification Windows de l'ordinateur ciblé. La personne n'avait qu'à envoyer un chemin d'accès comme «\\nom_du_serveur\nom_de_fichier.exe», convaincre un.e interlocuteurice de cliquer sur celui-ci. En cliquant, l'ordinateur ciblé essaie de se connecter à l'ordinateur du chemin d'accès ce qui permet à la personne attaquante d'intercepter, en quelques manoeuvres rapides, les informations d'identification Windows de sa cible. Ces informations pourront ensuite être utilisées pour attaquer l'ordinateur ciblé (avec une attaque de relais SMB).
Réaction de Zoom
Le PDG de Zoom, Eric S. Yuan, a publié un billet sur le blogue officiel de Zoom, le 1er avril 2020, pour annoncer la prise en charge de ce problème.
Progression de la correction
Le 1 avril 2020, Zoom a annoncé que la faille était corrigée.
Que faire pour réduire les risques ?
En tout temps, que vous soyez sur Zoom ou non, évitez de cliquer sur des liens de provenance inconnue et sur des liens qui vous semble suspect. Ne cliquez jamais sur des chemin d'accès menant vers un autre ordinateur ou serveur.
«Zoombombing» et les bonnes pratiques
Description
Dans ce cas-ci, il ne s'agit pas d'une faille à proprement dit, il est plutôt question de développer de bonnes pratiques pour protéger ses réunions.
Courte
On rapporte que des personnes mal intentionnées ont rejoint des rencontres auxquelles elles n'étaient pas invitées afin de les perturber.
Plus détaillée
Trouvant des identifiants de rencontre Zoom en ligne, plusieurs personnes se sont jointes à diverses réunions, surtout des cours, afin de les perturber, notamment en partageant leur écran pour faire passer des messages haineux, montrer de la pornographie, etc. On parle aussi d'attaques ciblées, d'informations personnelles divulguées sans consentement, d'exibitionnisme devant des jeunes, etc.
Le problème ne vient pas de la plateforme, mais de l'utilisation qui en est faite. Plusieurs numéros de rencontre sont partagés ouvertement sur les réseaux sociaux, permettant à n'importe qui de s'y joindre.
Réaction de Zoom
Le 20 mars 2020, Zoom a publié un article (anglais) dans lequel sont expliqués les fonctionnalités et paramètres à activer et désactiver pour éviter les intrusions. Les risques reliés à ce phénomène ont été pris au sérieux et plusieurs changements ont été apportés.
Progression de la correction
- Ajout de l'icone Sécurité permettant d'avoir accès rapide aux options qui permettent de prévenir le «Zoom bombing».
- Options «Mot de passe» et «Salle d'attente» activées par défaut désormais.
Que faire pour réduire les risques ?
Bonnes pratiques
- Lorsque possible, éviter de partager publiquement le numéro d'identifiant des rencontres.
- Lorsqu'il faut le partager publiquement, partager seulement l'ID de la rencontre (le numéro), et donner le mot de passe par message privé aux personnes intéressées.
- Ne pas se gêner pas pour couper le son et la vidéo des personnes participantes.
- Évincer les personnes qui perturbent une rencontre.
Dans les paramètres de votre compte
- S'assurer que les options «Mot de passe» et «Salle d'attente» sont activées pour chaque rencontre.
- Désactiver le partage d'écran pour les participant.e.s.
- Désactiver le partage de fichier.
- Éviter d'utiliser l'ID personnelle pour les réunion, surtout les évènements publics.
- Désactiver le clavardage privé.
Pour plus d'options, voir notre liste Paramétrer Zoom pour plus de sécurité
Fuites d'enregistrements vidéos
Description
Il ne s'agit pas d'une faille à proprement dit, une partie du problème est due à de mauvaises pratiques de la part des utilisateurices.
Courte
Des enregistrements de rencontres Zoom se sont retrouvés en circulation libre sur Internet, dont plusieurs contiennent des informations sensibles sur les participant.e.s. Il ne s'agirait pas de vidéos étant hébergées sur le nuage Zoom, mais des vidéos que les utilisateurices auraient enregistré sur des nuages ouverts qui n'offrent pas ou peu de protection.
Plus détaillée
Même s'il s'agit majoritairement d'un problème de bonnes pratiques du côté des utilisateurices, la raison pour laquelle il est si facile de viser spécifiquement les enregistrements de cette plateforme est que les fichiers sont automatiquement nommés en utilisant le même format. Lorsqu'on ne renomme pas les fichiers finaux, les enregistrements sont plus faciles à trouver. Une simple recherche parmi les serveurs infonuagiques ouverts permet de trouver tous les enregistrements Zoom sauvegardés de manière non sécuritaire. C'est plus de 15 000 vidéos qui ont pu être dénichées de la sorte.
Zoom pourrait prévenir une partie du problème en nommant ses fichiers de manière imprévisible. Par contre, on ne peut le blâmer pour les problèmes de sécurité des serveurs infonuagiques qui ne lui appartiennent pas.
Réaction de Zoom
Aucune répertoriée.
Progression de la correction
À suivre...
Que faire pour réduire les risques ?
- Renommer les ficher dès l'enregistrement terminée
- Ne pas sauvegarder les enregistrements sur des nuages sans encryption.
- Privilégier la sauvegarde sur disque dur (interne ou externe) protégé.
À suivre
Dans son billet du 1er avril 2020 sur le blogue officiel de Zoom, son PDG, Eric S. Yuan, a annoné que Zoom se donne 90 jours afin d'identifier les failles et d'améliorer la sécurité de la plateforme.
Nous allons suivre pour vous ce qui en est vraiment!