Des hackers éthiques ont démontré en marge de la conférence Pwn2Own comment l'exploitation de trois failles de sécurité zero-day dans Zoom, l'application de visioconférence, pouvaient permettre de prendre le contrôle total d'un PC distant. Des failles graves ont été également découvertes dans Microsoft Teams. Les hackers à l'origine de ces découvertes ont chacun reçu un prix de 200 000 dollars dans le cadre du programme bug bounty de Zoom et de Microsoft. 

Avec la pandémie de coronavirus l'application Zoom s'est offert une rampe de lancement incroyable devenant de facto l'outil par défaut de nombreuses entreprises pour organiser le travail à distance. Ce soudain placement sous les projecteurs fait de Zoom un sujet de choix pour les hackers éthiques et non éthiques (white et black hats). Car avec une telle pénétration, la moindre faille peut avoir un impact désastreux.

Vous ne serez donc pas surpris d'apprendre que Zoom et plus généralement les applications de visioconférence étaient au coeur du Pwn2Own 2021, un cycle de conférences où des hackers éthiques exposent leurs dernières découvertes en matière de cybersécurité. Et on a notamment beaucoup entendu parler de Zoom grâce à la découverte des white hat Daan Keuper et Thijs Alkemade de CompuTest Security.

Zoom : trois failles zero day ont été découvertes mais des correctifs devraient rapidement arriver

Ces experts avaient en amont découvert trois failles zero day dans l'application qui, lorsqu'utilisées ensemble, forment un exploit aux conséquences potentiellement très graves. Dans leur démonstration ils ont notamment réussi à prendre le contrôle quasi total d'un ordinateur distant sans intervention de la victime sur la machine – l'utilisateur devant le PC cible n'a même pas eu besoin de cliquer sur un lien ou lancer un programme.

Les hackers ont ensuite pu démontrer l'étendue de leur contrôle sur la machine en lançant la webcam, le microphone, en observant le bureau, les emails et en téléchargeant l'historique de recherches du navigateur. Leur découverte a été saluée par Zoom qui leur a octroyé 200 000 $ dans le cadre de leur programme bug bounty. Mais Zoom n'était pas la seule application de visioconférence à faire l'objet de découvertes désagréables.

Lire également : Zoom, Skype, Meet – il est possible de deviner vos mots de passe grâce aux mouvements de vos épaules

Des hackers ont également réussi à exploiter des failles de sécurité graves dans Microsoft Teams. Dans ce cas, une combinaison de failles de sécurité a permis l'exécution de code arbitraire. Là encore, Microsoft a remercié les chercheurs en leur délivrant un prix de 200 000 dollars comme le prévoit le programme de découverte des bugs de la firme. Ces démonstrations seront utiles aux équipes de Zoom et de Microsoft qui devraient proposer rapidement des patches de sécurité à leurs utilisateurs.

Source : Techradar