Zoom est victime d’une série de failles qui donnent aux pirates un accès total à votre PC

Des hackers éthiques ont démontré en marge de la conférence Pwn2Own comment l'exploitation de trois failles de sécurité zero-day dans Zoom, l'application de visioconférence, pouvaient permettre de prendre le contrôle total d'un PC distant. Des failles graves ont été également découvertes dans Microsoft Teams. Les hackers à l'origine de ces découvertes ont chacun reçu un prix de 200 000 dollars dans le cadre du programme bug bounty de Zoom et de Microsoft. 

Zoom
Crédits : Unsplash

Avec la pandémie de coronavirus l'application Zoom s'est offert une rampe de lancement incroyable devenant de facto l'outil par défaut de nombreuses entreprises pour organiser le travail à distance. Ce soudain placement sous les projecteurs fait de Zoom un sujet de choix pour les hackers éthiques et non éthiques (white et black hats). Car avec une telle pénétration, la moindre faille peut avoir un impact désastreux.

Vous ne serez donc pas surpris d'apprendre que Zoom et plus généralement les applications de visioconférence étaient au coeur du Pwn2Own 2021, un cycle de conférences où des hackers éthiques exposent leurs dernières découvertes en matière de cybersécurité. Et on a notamment beaucoup entendu parler de Zoom grâce à la découverte des white hat Daan Keuper et Thijs Alkemade de CompuTest Security.

Zoom : trois failles zero day ont été découvertes mais des correctifs devraient rapidement arriver

Ces experts avaient en amont découvert trois failles zero day dans l'application qui, lorsqu'utilisées ensemble, forment un exploit aux conséquences potentiellement très graves. Dans leur démonstration ils ont notamment réussi à prendre le contrôle quasi total d'un ordinateur distant sans intervention de la victime sur la machine – l'utilisateur devant le PC cible n'a même pas eu besoin de cliquer sur un lien ou lancer un programme.

Les hackers ont ensuite pu démontrer l'étendue de leur contrôle sur la machine en lançant la webcam, le microphone, en observant le bureau, les emails et en téléchargeant l'historique de recherches du navigateur. Leur découverte a été saluée par Zoom qui leur a octroyé 200 000 $ dans le cadre de leur programme bug bounty. Mais Zoom n'était pas la seule application de visioconférence à faire l'objet de découvertes désagréables.

Lire également : Zoom, Skype, Meet – il est possible de deviner vos mots de passe grâce aux mouvements de vos épaules

Des hackers ont également réussi à exploiter des failles de sécurité graves dans Microsoft Teams. Dans ce cas, une combinaison de failles de sécurité a permis l'exécution de code arbitraire. Là encore, Microsoft a remercié les chercheurs en leur délivrant un prix de 200 000 dollars comme le prévoit le programme de découverte des bugs de la firme. Ces démonstrations seront utiles aux équipes de Zoom et de Microsoft qui devraient proposer rapidement des patches de sécurité à leurs utilisateurs.

Source : Techradar


Réagissez à cet article !

Demandez nos derniers articles !

Cette découverte cachée sous la surface de Mars pourrait expliquer pourquoi la planète a été habitable

La planète rouge cachait un secret dans ses profondeurs. Des données de la sonde InSight révèlent un phénomène jusqu’ici observé uniquement sur Terre. Mars aurait pu rester habitable bien plus…

Xiaomi Robot Vacuum X10 : le puissant aspirateur robot est à moitié prix, vite !

Le ménage est une corvée dont on se passerait bien. Pour vous faciliter la tâche, le Xiaomi Robot Vacuum X10 passe l’aspirateur à votre place et nettoie en profondeur vos…

RetroPad pour Windows 11 : le Bloc-notes très léger et sans l’IA Copilot

Si vous rêvez de retrouver le Bloc-notes de Windows “comme à l’époque”, sans superflu, réjouissez-vous : RetroPad est là. Développé par un ancien de chez Microsoft, il revient à l’essentiel….

Clicks Communicator : ce smartphone inspiré de Blackberry se montre sous toutes ses coutures, ça fait envie

. Dévoilé au CES 2026, le Clicks Communicator a enfin droit à une vidéo de présentation en bonne et due forme. Les anciens aficionados de Blackberry ne seront pas déboussolés,…

Cette fuite dévoile comment Samsung veut piloter ses lunettes connectées d’un simple geste

Samsung prépare discrètement l’arrivée de ses lunettes connectées. Une fuite révèle le rôle surprenant réservé à la Galaxy Ring. La bague deviendrait une véritable télécommande portée au doigt. Le marché…

La Google Pixel Watch 5 se dévoile un peu plus et il y a une bonne nouvelle

La Google Pixel Watch 5 passe en ce moment devant la Commission fédérale des communications (FCC). L’occasion d’en apprendre plus sur elle, ou plutôt elles puisque plusieurs modèles sont en…

La DJI Osmo Pocket 3 passe à 237 € seulement en cumulant ces 2 offres, c’est un prix sacrifié !

Toujours en vente à 429 € sur le site officiel de DJI, la Osmo Pocket 3 est actuellement à prix sacrifié sur AliExpress. Cette excellente caméra stabilisée est affichée à…

Gmail : vous pourrez bientôt parler à votre boîte de réception pour retrouver vos messages

La recherche de messages dans sa boîte mail, c’est bientôt de l’histoire ancienne. Google prépare le déploiement imminent de Gemini Live dans mail, qui permettra aux utilisateurs de discuter directement…

Nintendo préparerait une nouvelle Switch 2, voici ce qui change

Un nouveau modèle de Nintendo Switch 2 a été aperçu, photos à l’appui. Les changements visibles à ce stade sont assez importants, même s’il faut prendre les informations disponibles avec…

Cette faille de Windows transforme votre antivirus en porte d’entrée pour les pirates

Microsoft Defender veille sur des millions de PC sous Windows. Une faille zero-day vient pourtant de retourner cette protection contre les machines qu’elle défend. Les pirates peuvent désormais en prendre…