Comique de répétition autour de la sécurité de Zoom. Le hacker Phil Guimond vient de trouver une nouvelle faille, cette fois-ci dans la fonction d’enregistrement dans le cloud. Cette fonction permet aux utilisateurs de visionner une réunion après coup. Malheureusement, cet accès était faiblement sécurisé. Certes, on pouvait définir un mot de passe, mais connaissant le lien, un pirate pouvait effectuer des attaques par force brute sans rencontrer aucun obstacle. Phil Guimond a d’ailleurs publié sur GitHub un outil qui le fait de manière automatisée.
En testant cet outil, l’expert est tombé sur une autre surprise : quand des vidéos enregistrées étaient effacées, elles restaient accessibles pendant encore plusieurs heures avant de disparaître définitivement. Pas très sérieux. « Zoom n’a pas du tout pris en considération la sécurité lors du développement de son logiciel. C’est l’un des produits commerciaux qui contiennent le plus de failles basiques sur le marché », estime Phil Guimond auprès de Cnet.
Alex Stamos devient le M. Sécurité de Zoom
Depuis, la vulnérabilité des enregistrements cloud a été comblée avec l’ajout d’un Captcha, ce qui rend impossible l’attaque par force brute. De plus, l’utilisation d’un mot de passe complexe est désormais activée par défaut. Enfin, Zoom vient de recruter une pointure mondiale sur le poste de responsable de la sécurité des systèmes d’information (RSSI), à savoir Alex Stamos. Ce professeur de Stanford était auparavant RSSI chez Facebook. Espérons qu’il réussira à insuffler les bonnes pratiques.
Source: Cnet