Le COVID-19 a dérangé toutes nos habitudes. Parmi les pratiques complètement bouleversées, le travail. Les pays et les secteurs d’activité qui jusque-là étaient les plus réfractaires au télétravail s’y sont mis massivement.
I). Des vulnérabilités critiques exploitées :
L’application ZOOM a été fortement utilisée pour les réunions : COPIL, Réunion d’équipe, Entretien, Réunion de Direction, l’école et l’université à distance, etc. Le nombre d’utilisateurs est passé de 10 à 200 millions : un succès expliqué par la facilité d’usage de l’application, sa version gratuite et ses fonctionnalités particulièrement adaptées aux usages de visioconférence.
Cependant, ce succès a aiguisé les appétits de certains hackers qui ont rivalisé d’ingéniosité pour rechercher et exploiter les vulnérabilités de l’application.
Beaucoup de vulnérabilités, dont certaines des 0-day[[1]]urlblank:http://applewebdata/6626CF19-977F-4C9F-81FB-446AAF108A8E#_ftn1 , ont été découvertes :
1. https://www.cyberscoop.com/zoom-zero-day-webcam-privlege-escalation/
2. https://nvd.nist.gov/vuln/detail/CVE-2019-13450
3. https://www.challenge.ma/zoom-vulnerabilites-critiques-decouvertes-135645/, …
Pis, certaines de ces vulnérabilités ont été exploitées : plus de 500 000 comptes (mail, mot de passe) de personnes physiques et d’entreprises ont été rachetés par une société américaine, Cyble, au vil prix de 0,002$ par compte. Cyble a acheté ce nombre de comptes dans le Darknet[[2]]urlblank:http://applewebdata/6626CF19-977F-4C9F-81FB-446AAF108A8E#_ftn2 afin de confirmer son hypothèse sur la vulnérabilité de l’application, comme le stipule Edouard Luquet dans son article du 14 avril 2020.
Autant dire que l’exploitation de cette vulnérabilité est beaucoup plus étendue.
II). Quelles conséquences de ces vulnérabilités ?
La récupération des codes d’accès à ZOOM permet de s’inviter à des réunions qui pour certaines, ont un caractère confidentiel, pour écouter, récupérer de l’information à l’insu des entreprises. Cela permet également de procéder à des attaques de type Zoom bombing, donnant à l’attaquant la possibilité de partager des images malsaines dans les réunions où il s’invite. Par ailleurs, puisque la plupart des internautes utilisent le même code pour divers sites et applications, il est possible d’élargir les attaques à d’autres applications.
En plus de ces nouvelles vulnérabilités, ZOOM ne chiffre pas ses communications de bout en bout. Ce qui lui donne la possibilité, au même titre que les hackers, d’accéder aux échanges réalisés sur sa plateforme.
Il reste à élucider le principe du chiffrement de bout en bout qui nous est vendu par beaucoup de solutions : qui est-ce qui génère les clés de chiffrement ? Est-ce l’application ? Comment ces clés sont-elles générées ? En dérivation d’une clé-mère ? Qui peut y accéder ? Le constructeur ne peut-il vraiment pas accéder aux données « chiffrées de bout en bout » ? Mais cela est un autre débat, sur lequel nous reviendrons ultérieurement.
III). Que faire face à cette situation ?
Même si l’entreprise promet de mettre l’accent sur la sécurité de son application et que des mises à jour de ZOOM aient été proposées les semaines 15 et 16, il serait prudent d’adopter un certain nombre de réflexes :
1). En attendant une mise à niveau de l’application, adopter d’autres applications concurrentes, certes moins conviviales mais présentant un moindre intérêt, à ce jour, pour les hackers. Les alternatives disponibles sont nombreuses : JitsiMeet, Tixeo, Teams, Skype, … Prendre le temps de ‘’benchmarker’’, de tester, pour les entreprises, avant d’utiliser. Une étude comparée a été faite par Benjamin Hue, dans son article du 11 avril 2020.
2). A défaut de pouvoir changer, quelques recommandations :
a). Mettre à jour l’application ZOOM et rester en veille pour les prochaines mises à jour,
b). Changer son mot de passe de connexion,
c). Activer les options suivantes : Exiger le mot de passe de la réunion, Seuls les utilisateurs authentifiés peuvent participer
d). Si possible, partager le mot de passe de connexion séparément du lien de connexion
D’autres options intéressantes :
e). Changer votre mot de passe sur l’ensemble des applications où vous l’utilisez et faire l’effort d’avoir des mots de passe différents par application, en vous aidant d’un coffre-fort de mots de passe
Et pour les geeks,
f). Renforcer sa configuration Windows (Hardening) : regedit en mode Administrateur puis Stratégies locales / Options de sécurité / Sécurité réseau / Sécurité réseau : Restreindre NTLM : Trafic NTLM sortant vers des serveurs distants / Mettre Refuser tout.
Cela permet de refuser l’envoi du Hash de votre mot de passe par le réseau.
Malick FALL
Consultant en cybersécurité
CEO Polaris ST
www.polaris-st.com
Lyon, le 18 avril 2010
I). Des vulnérabilités critiques exploitées :
L’application ZOOM a été fortement utilisée pour les réunions : COPIL, Réunion d’équipe, Entretien, Réunion de Direction, l’école et l’université à distance, etc. Le nombre d’utilisateurs est passé de 10 à 200 millions : un succès expliqué par la facilité d’usage de l’application, sa version gratuite et ses fonctionnalités particulièrement adaptées aux usages de visioconférence.
Cependant, ce succès a aiguisé les appétits de certains hackers qui ont rivalisé d’ingéniosité pour rechercher et exploiter les vulnérabilités de l’application.
Beaucoup de vulnérabilités, dont certaines des 0-day[[1]]urlblank:http://applewebdata/6626CF19-977F-4C9F-81FB-446AAF108A8E#_ftn1 , ont été découvertes :
1. https://www.cyberscoop.com/zoom-zero-day-webcam-privlege-escalation/
2. https://nvd.nist.gov/vuln/detail/CVE-2019-13450
3. https://www.challenge.ma/zoom-vulnerabilites-critiques-decouvertes-135645/, …
Pis, certaines de ces vulnérabilités ont été exploitées : plus de 500 000 comptes (mail, mot de passe) de personnes physiques et d’entreprises ont été rachetés par une société américaine, Cyble, au vil prix de 0,002$ par compte. Cyble a acheté ce nombre de comptes dans le Darknet[[2]]urlblank:http://applewebdata/6626CF19-977F-4C9F-81FB-446AAF108A8E#_ftn2 afin de confirmer son hypothèse sur la vulnérabilité de l’application, comme le stipule Edouard Luquet dans son article du 14 avril 2020.
Autant dire que l’exploitation de cette vulnérabilité est beaucoup plus étendue.
II). Quelles conséquences de ces vulnérabilités ?
La récupération des codes d’accès à ZOOM permet de s’inviter à des réunions qui pour certaines, ont un caractère confidentiel, pour écouter, récupérer de l’information à l’insu des entreprises. Cela permet également de procéder à des attaques de type Zoom bombing, donnant à l’attaquant la possibilité de partager des images malsaines dans les réunions où il s’invite. Par ailleurs, puisque la plupart des internautes utilisent le même code pour divers sites et applications, il est possible d’élargir les attaques à d’autres applications.
En plus de ces nouvelles vulnérabilités, ZOOM ne chiffre pas ses communications de bout en bout. Ce qui lui donne la possibilité, au même titre que les hackers, d’accéder aux échanges réalisés sur sa plateforme.
Il reste à élucider le principe du chiffrement de bout en bout qui nous est vendu par beaucoup de solutions : qui est-ce qui génère les clés de chiffrement ? Est-ce l’application ? Comment ces clés sont-elles générées ? En dérivation d’une clé-mère ? Qui peut y accéder ? Le constructeur ne peut-il vraiment pas accéder aux données « chiffrées de bout en bout » ? Mais cela est un autre débat, sur lequel nous reviendrons ultérieurement.
III). Que faire face à cette situation ?
Même si l’entreprise promet de mettre l’accent sur la sécurité de son application et que des mises à jour de ZOOM aient été proposées les semaines 15 et 16, il serait prudent d’adopter un certain nombre de réflexes :
1). En attendant une mise à niveau de l’application, adopter d’autres applications concurrentes, certes moins conviviales mais présentant un moindre intérêt, à ce jour, pour les hackers. Les alternatives disponibles sont nombreuses : JitsiMeet, Tixeo, Teams, Skype, … Prendre le temps de ‘’benchmarker’’, de tester, pour les entreprises, avant d’utiliser. Une étude comparée a été faite par Benjamin Hue, dans son article du 11 avril 2020.
2). A défaut de pouvoir changer, quelques recommandations :
a). Mettre à jour l’application ZOOM et rester en veille pour les prochaines mises à jour,
b). Changer son mot de passe de connexion,
c). Activer les options suivantes : Exiger le mot de passe de la réunion, Seuls les utilisateurs authentifiés peuvent participer
d). Si possible, partager le mot de passe de connexion séparément du lien de connexion
D’autres options intéressantes :
e). Changer votre mot de passe sur l’ensemble des applications où vous l’utilisez et faire l’effort d’avoir des mots de passe différents par application, en vous aidant d’un coffre-fort de mots de passe
Et pour les geeks,
f). Renforcer sa configuration Windows (Hardening) : regedit en mode Administrateur puis Stratégies locales / Options de sécurité / Sécurité réseau / Sécurité réseau : Restreindre NTLM : Trafic NTLM sortant vers des serveurs distants / Mettre Refuser tout.
Cela permet de refuser l’envoi du Hash de votre mot de passe par le réseau.
Malick FALL
Consultant en cybersécurité
CEO Polaris ST
www.polaris-st.com
Lyon, le 18 avril 2010
PRÉSIDENTIELLE 2024
FRANCE
