L’éditeur a publié deux correctifs défectueux avant de fournir enfin un patch qui marche… le jour après une présentation publique de la faille en question.
L’un des avantages des conférences de sécurité, c’est qu’elles poussent les éditeurs à se bouger un peu plus. Lors de la conférence Def Con 30, qui s’est tenue à Las Vegas ce week-end dernier, le chercheur en sécurité Patrick Wardle a détaillé une faille critique dans la version macOS du célèbre logiciel de visioconférence. Un jour plus tard, Zoom annonce la mise à jour 5.11.5 qui résout enfin le problème et qu’il est vivement recommandé d’installer.
Ce n’est pas trop tôt, car Patrick Wardle avait alerté l’éditeur déjà en décembre dernier. Depuis, l’éditeur avait diffusé deux correctifs qui étaient malheureusement bogués, donc inefficaces. Ce qui a passablement énervé le chercheur en sécurité. « Pour moi, c’était un peu problématique, car non seulement j’ai signalé les bogues à Zoom, mais j’ai également signalé des erreurs et expliqué comment corriger le code. C’était donc vraiment frustrant d’attendre, quoi, six, sept, huit mois, sachant que toutes les versions Mac de Zoom étaient vulnérables », a déclaré Wardle à The Verge lors d’un appel avant sa prise de parole.
Un bug dans la mise à jour automatique
La présentation de ce hack à Las Vegas a visiblement mis de l’huile dans les rouages internes de Zoom. C’est une bonne chose, car la faille permettait d’avoir un accès root sur n’importe quel ordinateur sous macOS. Comment ? Grâce à un module de mise à jour intégré, mais défectueux (« Auto Updater »). En l’analysant, Patrick Wardle s’est rendu compte que la vérification de la signature des fichiers de mise à jour ne fonctionnait pas, et qu’il était donc possible de lui faire installer n’importe quoi. Et comme ce module tourne avec les privilèges d’administrateur, un attaquant pouvait finalement obtenir tous les accès sur le système.
La publication du patch satisfait le chercheur, qui a même congratulé Zoom pour sa célérité et sa réactivité. Faut-il y voir un brin d’ironie ? Quoi qu’il en soit, cette présentation remet en lumière les fragilités de la plateforme Zoom. En 2020, l’éditeur avait été épinglé maintes fois pour la sécurité déficiente de son service. Depuis, il tente de redresser la situation, avec l’ajout d’une série de fonctionnalités comme le chiffrement de bout en bout ou le masquage de l’identifiant de réunion. Il s’est même payé le luxe de reprendre Keybase, un éditeur de messagerie instantanée sécurisée, en mai 2020.
Source :
The Verge