Mettre à jour: Après cette histoire et d’autres mises en ligne le 1er avril, Le PDG de Zoom, Eric Yuan, a abordé la sécurité de Zoom et d’autres problèmes dans un article de blog. Une partie du billet de blog a détaillé un correctif de bogue à publier, qui corrigerait, entre autres, la vulnérabilité UNC décrite dans notre histoire originale. Le correctif semble être diffusé automatiquement aux utilisateurs. Le personnel de PCWorld qui a déjà reçu le correctif rapporte le numéro de version comme 4.6.9 (19253.0401).

Une vulnérabilité non corrigée dans Zoom permet à un attaquant de déposer un lien malveillant dans une fenêtre de discussion et de l’utiliser pour voler un mot de passe Windows, selon les rapports.

Un pirate pourrait utiliser une attaque appelée injection de chemin UNC pour exposer les informations d’identification, selon un attaque publiée sur Twitter et ensuite suivi d’un vidéo supplémentaire. Selon The Hacker News, c’est parce que Windows expose le nom de connexion et le mot de passe d’un utilisateur à un serveur distant lorsqu’il tente de s’y connecter et de télécharger un fichier.

Zoom Pirater L'Image HackerFantastic / Twitter

Tout attaquant doit envoyer un lien à un autre utilisateur et le convaincre de cliquer dessus pour que l’attaque commence. Bien que le mot de passe Windows soit toujours chiffré, le piratage prétend qu’il peut être facilement déchiffré par des outils tiers si le mot de passe est faible.

Alors que Zoom gagne en popularité, il a attiré l’attention de la communauté de la sécurité, qui examine de plus près le logiciel de visioconférence pour détecter les faiblesses. En plus du risque de « bombardement Zoom », des critiques ont été adressées au logiciel pour prétendant être chiffré de bout en bout, alors qu’en fait ce n’est pas le cas. L’année dernière, une faille est apparue qui pourrait permettre aux utilisateurs distants de joindre un utilisateur Mac à un appel, puis d’allumer leur caméra sans autorisation. Cette faille a été corrigée. Zoom n’a cependant pas annoncé de correction pour le bug actuel.

Publicité

The Hacker News recommande d’utiliser les paramètres de stratégie de sécurité Windows pour désactiver la transmission automatique des informations d’identification NTML à un serveur distant, ou bien simplement d’utiliser le client Zoom pour le Web.

Remarque: Lorsque vous achetez quelque chose après avoir cliqué sur des liens dans nos articles, nous pouvons gagner une petite commission. Lisez notre politique de liens d’affiliation pour plus de détails.


Rate this post
Publicité
Article précédentIntel Core i5-10400 contre AMD Ryzen 5 3600
Article suivantApple iOS 14: les meilleures nouvelles fonctionnalités à venir sur l’iPhone
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici