Faille zoom

Les hackers éthiques ont démontré en marge de la conférence Pwn2Own comment l’exploitation de trois failles de sécurité zero-day dans Zoom, l’application de visioconférence, pouvaient permettre de prendre le contrôle total d’un PC distant. Des failles graves ont été également découvertes dans Microsoft Teams. Les hackers à l’origine de ces découvertes ont chacun reçu un prix de 200 000 dollars dans le cadre du programme bug bounty de Zoom et de Microsoft. 

Zoom
Crédits : Unsplash

Avec la pandémie de coronavirus l’application Zoom s’est offert une rampe de lancement incroyable devenant de facto l’outil par défaut de nombreuses entreprises pour organiser le travail à distance. Ce soudain placement sous les projecteurs fait de Zoom un sujet de choix pour les hackers éthiques et non éthiques (white et black hats). Car avec une telle pénétration, la moindre faille peut avoir un impact désastreux.

Vous ne serez donc pas surpris d’apprendre que Zoom et plus généralement les applications de visioconférence étaient au coeur du Pwn2Own 2021, un cycle de conférences où des hackers éthiques exposent leurs dernières découvertes en matière de cybersécurité. Et on a notamment beaucoup entendu parler de Zoom grâce à la découverte des white hat Daan Keuper et Thijs Alkemade de CompuTest Security.

Zoom : trois failles zero day ont été découvertes, mais des correctifs devraient rapidement arriver

Ces experts avaient en amont découvert trois failles zero day dans l’application qui, lorsqu’utilisées ensemble, forment un exploit aux conséquences potentiellement très graves. Dans leur démonstration ils ont notamment réussi à prendre le contrôle quasi total d’un ordinateur distant sans intervention de la victime sur la machine – l’utilisateur devant le PC cible n’a même pas eu besoin de cliquer sur un lien ou lancer un programme.

Les hackers ont ensuite pu démontrer l’étendue de leur contrôle sur la machine en lançant la webcam, le microphone, en observant le bureau, les emails et en téléchargeant l’historique de recherches du navigateur.

Lire la suite

You may also like...

You can see who we've worked with near you that you might know for a reference by browsing our hierarchical portfolio directory below. For formation, cities we serve include Alfortville, Antony, Argenteuil, Athis-Mons, Aubervilliers, Aulnay-sous-Bois, Bagneux, Bagnolet, Bezons, Bobigny, Bois-Colombes, Bondy, Boulogne-Billancourt, Brétigny-sur-Orge, Brunoy, Cachan, Cergy, Cergy-Pontoise, Champigny-sur-Marne, Charenton-le-Pont, Châtenay-Malabry, Châtillon, Chatou, Chelles, Choisy-le-Roi, Clamart, Clichy, Clichy-sous-Bois, Colombes, Combs-la-Ville, Conflans-Sainte-Honorine, Corbeil-Essonnes, Créteil, Deuil-la-Barre, Drancy, Draveil, Eaubonne, Épinay-sur-Seine, Ermont, Évry, Fontenay-aux-Roses, Fontenay-sous-Bois, Franconville, Gagny, Garges-lès-Gonesse, Gennevilliers, Gif-sur-Yvette, Gonesse, Grigny, Guyancourt, Houilles, Issy-les-Moulineaux, Ivry-sur-Seine, L'Haÿ-les-Roses, La Courneuve, Le Blanc-Mesnil, Le Chesnay, Levallois-Perret, Livry-Gargan, Lutèce, Maisons-Laffitte, Malakoff, Meudon, Montfermeil, Montreuil, Nanterre, Neuilly-sur-Marne, Neuilly-sur-Seine, Noisy-le-Grand, Palaiseau, Pontoise, Puteaux, Rosny, Rueil-Malmaison, Saint-Cloud, Saint-Denis, Saint-Germain-en-Laye, Saint-Maur-des-Fossés, Sainte-Geneviève-des-Bois, Sarcelles, Sèvres, Suresnes, Thiais, Vanves, Vélizy-Villacoublay, Versailles, Vincennes, Viry-Châtillon, Vitry-sur-Seine, and Yerres.