Zoom : des pirates vendent une faille de sécurité critique pour 500 000$

Zoom est une nouvelle fois la cible des pirates. Des hackers ont en effet mis en vente deux failles de sécurité de type zéro-day permettant de tromper le service de visioconférence. En exploitant une des failles, un attaquant peut prendre le contrôle de votre ordinateur Windows à votre insu. 

D'après une enquête de nos confrères de Vice, des pirates vendent actuellement 2 failles de sécurité critiques découvertes dans l'application de visioconférence Zoom. La première brèche permet à un attaquant de prendre le contrôle d'un ordinateur sous Windows en exécutant du code malveillant à distance. Il s'agit d'une faille de type zéro-day : son existence est donc encore inconnue.

Pour exploiter la faille, le pirate doit impérativement participer à une réunion sur Zoom. D'après un expert en cybersécurité interrogé par Vice, et resté anonyme, la faille est néanmoins parfaite pour faire de “l'espionnage industriel”.Un constat contesté par un autre spécialiste en sécurité informatique, qui estime que l'exploitation de la faille met en danger l'identité de l'attaquant qui décide de s'en servir.

Elle est vendue au prix de 500 000 dollars. Vu les impératifs nécessaires pour mener à bien l'opération, les experts interrogés par Vice considèrent que le prix est trop élevé. La découverte de la brèche ne vaudrait pas plus de 250 000 dollars sur le marché.La seconde faille mise en avant par les hackers permet de pirater un ordinateur sous MacOS. Malheureusement, peu d'informations sont disponibles sur le fonctionnement de celle-ci.

Lire également : Zoom ferme la porte aux pollueurs qui dégradent son service de visioconférence

Zoom réagit aux failles de sécurité mises en vente par les pirates

Toujours d'après les informations obtenues par Vice, nombreux sont les pirates qui proposent des failles de sécurité zéro-day concernant Zoom. Depuis la mise en place du confinement, les experts constatent une forte augmentation de l'offre sur ce marché. En moyenne, une faille est vendue entre 5000 et 30000 dollars.

Zoom n'a pas tardé à réagir à la situation. “Zoom prend la sécurité des utilisateurs très au sérieux. Depuis que nous eu vent de ces rumeurs, nous travaillons sans relâche avec une firme de sécurité réputée et leader de l'industrie pour enquêter sur ces rumeurs. Néanmoins, nous n'avons trouvé aucune preuve étayant ces allégations pour le moment” se défend la start-up américaine dans un communiqué.

Ce n'est pas la première fois que les systèmes de sécurité de Zoom se retrouvent au centre des préoccupations. Il y a quelques jours, Cyble a ainsi découvert les mots de passe de 500 000 comptes Zoom piratés en vente sur le dark web. Un peu plus tôt, des milliers de vidéos privées enregistrées sur Zoom ont été diffusées sur la toile. Dans ce contexte, Google a préféré interdire le service à ses employés.

Source : Vice