Zoom est victime d’une série de failles qui donnent aux pirates un accès total à votre PC

 

Des hackers éthiques ont démontré en marge de la conférence Pwn2Own comment l'exploitation de trois failles de sécurité zero-day dans Zoom, l'application de visioconférence, pouvaient permettre de prendre le contrôle total d'un PC distant. Des failles graves ont été également découvertes dans Microsoft Teams. Les hackers à l'origine de ces découvertes ont chacun reçu un prix de 200 000 dollars dans le cadre du programme bug bounty de Zoom et de Microsoft. 

Zoom
Crédits : Unsplash

Avec la pandémie de coronavirus l'application Zoom s'est offert une rampe de lancement incroyable devenant de facto l'outil par défaut de nombreuses entreprises pour organiser le travail à distance. Ce soudain placement sous les projecteurs fait de Zoom un sujet de choix pour les hackers éthiques et non éthiques (white et black hats). Car avec une telle pénétration, la moindre faille peut avoir un impact désastreux.

Vous ne serez donc pas surpris d'apprendre que Zoom et plus généralement les applications de visioconférence étaient au coeur du Pwn2Own 2021, un cycle de conférences où des hackers éthiques exposent leurs dernières découvertes en matière de cybersécurité. Et on a notamment beaucoup entendu parler de Zoom grâce à la découverte des white hat Daan Keuper et Thijs Alkemade de CompuTest Security.

Zoom : trois failles zero day ont été découvertes mais des correctifs devraient rapidement arriver

Ces experts avaient en amont découvert trois failles zero day dans l'application qui, lorsqu'utilisées ensemble, forment un exploit aux conséquences potentiellement très graves. Dans leur démonstration ils ont notamment réussi à prendre le contrôle quasi total d'un ordinateur distant sans intervention de la victime sur la machine – l'utilisateur devant le PC cible n'a même pas eu besoin de cliquer sur un lien ou lancer un programme.

Les hackers ont ensuite pu démontrer l'étendue de leur contrôle sur la machine en lançant la webcam, le microphone, en observant le bureau, les emails et en téléchargeant l'historique de recherches du navigateur. Leur découverte a été saluée par Zoom qui leur a octroyé 200 000 $ dans le cadre de leur programme bug bounty. Mais Zoom n'était pas la seule application de visioconférence à faire l'objet de découvertes désagréables.

Lire également : Zoom, Skype, Meet – il est possible de deviner vos mots de passe grâce aux mouvements de vos épaules

Des hackers ont également réussi à exploiter des failles de sécurité graves dans Microsoft Teams. Dans ce cas, une combinaison de failles de sécurité a permis l'exécution de code arbitraire. Là encore, Microsoft a remercié les chercheurs en leur délivrant un prix de 200 000 dollars comme le prévoit le programme de découverte des bugs de la firme. Ces démonstrations seront utiles aux équipes de Zoom et de Microsoft qui devraient proposer rapidement des patches de sécurité à leurs utilisateurs.

Source : Techradar



Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos dernières applications !
  • whatsapp unsplash
    WhatsApp : bientôt du cashback sur les paiements ?

    WhatsApp Payments est l’une des dernières fonctionnalités ajoutées à la populaire plateforme de messagerie instantanée, et celle-ci pourrait bientôt s’améliorer avec une fonctionnalité qui pourrait faire gagner de l’argent aux utilisateurs. Dans certains pays, comme l’Inde ou encore le Brésil,…

  • vlc mise à jour android
    VLC 3.4 : l’appli Android se met à jour avec une nouvelle interface pour le lecteur audio

    L’application Android VLC se met à jour. Cette version 3.4 apporte son lot de modifications, à commencer par l’intégration de marque-pages, pratique pour ne pas perdre sa progression dans la lecture d’un livre audio ou d’un podcast. Alors que le…

  • gmail android recherche
    Gmail sur Android : fini de perdre vos mails, la recherche améliorée arrive en octobre 2021

    La version Android de Gmail se dote d’une fonctionnalité depuis longtemps attendue : la recherche améliorée. S’il est déjà possible de retrouver ses mails sur l’application, ce sera encore plus facile en utilisant des filtres pour la pièce jointe ou un…

  • google maps bug voix
    Google Maps parle avec un drôle d’accent à cause d’un bug

    Google Maps est victime d’un bug plutôt étrange et cocasse. En effet, plusieurs utilisateurs se plaignent de voir la voix utilisé pour la navigation s’exprimer subitement avec un accent indien dans la majorité des cas. Google est au courant du…

  • Runtastic
    Télécharger Adidas Running by Runtastic APK gratuit sur Android

    Runtastic est une application très appréciée par les sportifs. Parmi ses fonctionnalités phares, il y a la comptabilité avec une ceinture cardiofréquencemètre, des informations sur la course ou suivi de la course en ligne et en direct par une autre…

  • PayPal
    Télécharger PayPal APK gratuit sur Android

    PayPal est une solution en ligne qui vous permet de gérer votre argent de manière simple, rapide et sécurisée. Vous pouvez vous en servir pour envoyer de l’argent, payer vos achats et accepter des paiements sans que vous soyez obligé…

  • google messages nudge
    Google Messages : les rappels automatiques de Gmail débarquent bientôt sur l’appli

    Google Messages s’apprêterait à accueillir une fonctionnalité issue de Gmail. Les “Nudges” ou “Rappels automatiques” dans la langue de Molière ont été lancés en 2019 sur le service de messagerie de Google. Cette fois-ci, ces “Nudges” pourraient bien débarquer sur…

  • Plantnet
    Télécharger Plantnet APK gratuit sur Android

    Considéré comme le Shazam des plantes, Plantnet est une application gratuite qui permet d’identifier les végétaux. Elle vous aide à connaître le nom d’une plante que vous rencontrez. Il s’agit donc d’un outil qui vous aidera à devenir un as…

  • Météociel
    Télécharger MétéoCiel APK gratuit sur Android

    Aujourd’hui, il existe plusieurs types d’applications Météo pour Android. Parmi les plus appréciées, on distingue MétéoCiel. Il s’agit d’un programme complet en français 100% gratuit et sans aucune publicité. Cette application peut vous donner toute satisfaction que ce soit en…

  • whatsapp unsplash
    WhatsApp : vous pourrez bientôt lire des messages vocaux grâce à une fonction de transcription

    WhatsApp vient d’ajouter la prise en charge du chiffrement de bout en bout pour les sauvegardes de chats et il semble que la société envisage maintenant d’offrir une fonction de transcription des messages vocaux. Cette fonctionnalité est actuellement en cours…