l'Internet

Minutieux! Une défaillance du zoom permet à quiconque d’entrer des appels vidéo privés

La populaire plateforme d’appels vidéo, Zoom, est une nouvelle fois au centre de la polémique après qu’un analyste en cybersécurité a découvert une grave vulnérabilité dans le service, qui permettrait à des attaquants de découvrir le mot de passe de salles de réunion privées en seulement quelques minutes.

L’analyste en question, Tom Anthony, explique que bien que les réunions privées de Zoom puissent être protégées par des mots de passe numériques allant jusqu’à six chiffres, le client Web de la plateforme n’a pas de limite maximale de tentatives lors de la saisie de la clé, permettant ainsi la possibilité d’effectuer attaques par force brute afin de récupérer la bonne clé qui donne accès à la session. Le fait d’utiliser des mots de passe à six chiffres implique qu’il existe un million de combinaisons différentes qui peuvent être utilisées.

Les attaques par force brute, que sont-elles et comment fonctionnent-elles? | Lorsque nous parlons d’attaques par force brute, nous nous référons à une procédure qui consiste à essayer de récupérer une clé ou un mot de passe en essayant toutes les combinaisons disponibles, généralement de manière automatisée à l’aide de systèmes spécifiquement conçus pour générer les clés dans une plage spécifique.

En tirant parti de cette vulnérabilité, les attaquants pourraient accéder et écouter des réunions privées. En ce sens, l’attaquant explique qu’il suffisait de connaître le code identifiant ou ID de l’appel et commencer à essayer différentes combinaisons jusqu’à trouver la clé.

L’application Zoom a été l’une des plus téléchargées ces derniers mois.

Zoom, à nouveau au centre de la polémique sur une grave faille de sécurité

Dans le post où Anthony explique les détails de cette recherche, il explique que, pour obtenir les mots de passe des sessions privées de Zoom, il lui suffisait de développer un outil simple utilisant le langage de programmation Python. Avec lui, il était possible de vérifier jusqu’à 25 mots de passe à six chiffres chaque seconde, de sorte que la découverte du mot de passe correct pouvait prendre moins d’une demi-heure à l’ aide d’un ordinateur normal, comme celui que n’importe qui pourrait avoir à la maison. En effet, il explique que si vous avez utilisé des techniques plus avancées, répartir l’exécution du script sur des serveurs dans le cloud, vérifier la gamme complète de clés pourrait ne prendre que quelques minutes.

Bien que Zoom ait été averti de cette vulnérabilité début avril, et peu de temps après que le problème ait été corrigé grâce à la mise en œuvre d’une couche de sécurité supplémentaire qui exige que les mots de passe ne soient pas numériques et plus longs que les six chiffres d’origine, la réalité est qu’il est une autre pierre sur le chemin de Zoom, une plate-forme qui, depuis qu’elle a subi son explosion de popularité à partir d’avril de cette année, s’est retrouvée au centre de controverses à plusieurs reprises en raison de graves failles de sécurité et de politiques de confidentialité douteuses. Même le PDG de l’entreprise a dû se retirer, mettant en garde contre l’intention de l’entreprise deagir plus rapidement pour découvrir et corriger ces types de problèmes.

«La vulnérabilité a déjà été corrigée grâce à la mise en œuvre d’une couche de sécurité supplémentaire.»

Quoi qu’il en soit, il semble assez clair que Zoom a eu beaucoup de succès, et que ses avancées en termes de sécurité et de confidentialité ne semblent pas venir assez vite malgré les efforts de l’entreprise. Il n’est donc pas surprenant que ces dernières semaines, des alternatives telles que Google Meet gagnent des adeptes à pas de géant.

Articles Similaires

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Botón volver arriba