Le logiciel de visioconférence de Zoom a plus de problèmes qu’un serveur Web secret sur Mac. Même sous Windows, les sites Web que vous visitez peuvent commencer à vous filmer sans votre consentement. Tout ce que vous avez à faire est de cliquer sur un lien. Ce problème affecte également les Mac.
Alors que les rapports précédents semblaient indiquer que les problèmes de Zoom étaient spécifiques à macOS, Windows est également vulnérable. Si Zoom est configuré pour activer votre caméra par défaut dans les réunions, quelqu’un peut intégrer un lien Zoom dans une page Web et commencer immédiatement à vous enregistrer. Cela fonctionnerait sur Windows ou Mac.
Zoom insiste il «n’a aucune indication que cela se soit jamais produit» – pourtant. La société considère qu’il s’agit d’une fonctionnalité et déclare que vous avez donné votre autorisation si votre client Zoom est configuré pour activer automatiquement votre webcam lorsque vous rejoignez une réunion.
Jonathan LeitschuhLe site Web de preuve de concept le démontre. Si le logiciel Zoom est installé et que vous accédez au site Web, le logiciel Zoom se lancera et rejoindra automatiquement la réunion et commencera à enregistrer avec votre webcam. Dans le cas de macOS, vous verriez ce comportement même si vous avez précédemment désinstallé Zoom, grâce à un serveur Web secret, Zoom laisse fonctionner après sa désinstallation. Mais, même sous Windows, Zoom se lancera si vous l’avez actuellement installé.
Au début, le message médiatique de Jonathan Leitschuh semblait suggérer que ce problème n’existait que sur MacOS. Mais il a précisé le contraire dans un tweet:
🚨 UTILISATEURS WINDOWS ET MAC 🚨
Si vous avez déjà coché cette case sur un navigateur autre que Safari, vous êtes également vulnérable. pic.twitter.com/FbG2efEe0R
– Jonathan Leitschuh (@JLLeitschuh) 9 juillet 2019
Nous l’avons testé en installant le logiciel Zoom et en visitant son site Web de preuve de concept à l’aide de Google Chrome.
Lors de la première visite, vous serez invité à ouvrir l’application Zoom, à condition que Zoom ne soit pas installé. Si vous cochez « Toujours ouvrir ces types de liens dans l’application associée », vous rencontrez des problèmes. C’est une case que presque tout le monde cocherait pour éviter les clics supplémentaires à l’avenir.
La prochaine fois que nous avons visité le site Web, Zoom s’est ouvert automatiquement, nous a rejoint à la réunion et a démarré notre webcam. Nous n’avons cliqué sur aucune invite ni donné aucune approbation. Sans interaction de votre part, les sites malveillants pourraient facilement vous enregistrer tant que Zoom est installé.
Vous voyez la fenêtre Zoom et il est clair que vous êtes en cours d’enregistrement. Cependant, un site Web malveillant peut capturer une vidéo de vous avant que vous n’interrompiez la visioconférence.
C’est un énorme problème. Nous vous recommandons de désinstaller Zoom si vous ne l’utilisez pas fréquemment. Si vous en avez besoin, vous pouvez également activer l’option «Désactiver ma vidéo lors de la participation à la réunion» dans l’onglet «Vidéo» de la fenêtre des paramètres de Zoom pour éviter que cela ne se produise.
Sur macOS, n’oubliez pas de vérifier le serveur Web et de le désinstaller également.
Malheureusement, Zoom réponse officielle à la situation semble suggérer que l’entreprise considère cela comme une caractéristique et non un problème. Espérons qu’il comprendra bientôt toute la gravité du problème et changera de cap.