Mac : une faille de sécurité de type zero-day détectée.

[IceCream]

Même si les ventes de Mac ont reculé au dernier trimestre d'un peu moins de 5 %, les ordinateurs portables frappés d'une pomme ont plutôt bien tenu le choc des ventes l'an dernier, dans un marché qui a stagné. Le fabricant d’ordinateurs classé quatrième au classement mondial des constructeurs d'ordinateurs portables tire son épingle du jeu avec sa série de MacBook, MacBook Air et MacBook Pro.

 

Toutefois, le problème de sécurité sur les périphériques informatiques n’a pas épargné la Pomme. Aujourd'hui, le chercheur en sécurité Jonathan Leitschuh a dévoilé publiquement une vulnérabilité sérieuse de zéro jour pour l'application de vidéo-conférence Zoom sur Mac. Il a démontré que tout site Web peut ouvrir un appel vidéo sur un Mac sur lequel l'application Zoom est installée. 

 

C'est possible en partie parce que l'application Zoom installe apparemment un serveur Web sur un Mac acceptant les requêtes des navigateurs classiques. En fait, si vous désinstallez Zoom, ce serveur Web persiste et peut réinstaller Zoom sans votre intervention. Leitschuh explique en détail comment il a révélé la vulnérabilité de Zoom, donnant à la société 90 jours pour résoudre le problème. Selon le compte de Leitschuh, Zoom ne semble pas en avoir suffisamment fait pour résoudre le problème.

 

La vulnérabilité a également été révélée aux équipes de Chromium et de Mozilla, mais comme ce n’est pas un problème avec leurs navigateurs, les développeurs ne peuvent pas grand-chose. Si prendre le contrôle de votre caméra est déjà assez grave, l’existence d’un serveur Web sur leurs ordinateurs pourrait poser des problèmes plus importants aux utilisateurs de Mac. Pour remédier à ce problème, il suffit de s’assurer que l'application Mac est à jour et désactiver le paramètre permettant à Zoom d'allumer votre appareil camera lorsque vous vous joignez à une réunion, comme illustré ci-dessous.

 

Pour remédier à ce problème, il suffit de s’assurer que l'application Mac est à jour et désactiver le paramètre permettant à Zoom d'allumer votre appareil camera lorsque vous vous joignez à une réunion, comme illustré ci-dessous.

 

 

Étant donné que les Mac représentent 10% du marché des PC et que Zoom a connu une croissance importante depuis 2015, on peut supposer qu'au moins 4 millions d'utilisateurs de Zoom sont sur Mac. Des outils tels que Zoom, Google Meet ou Skype for Business font partie intégrante du bureau moderne.

 

Toute vulnérabilité dans une application avec autant d'utilisateurs doit être considérée comme une menace sérieuse pour tous ces utilisateurs. Une désinstallation de Zoom ne résout pas ce problème, car ce serveur Web persiste sur votre Mac. Pour désactiver le serveur Web, vous pouvez exécuter les commandes suivantes : 

 

pkill " ZoomOpener " ; rm -rf ~ /.zoomus; touch ~ /.zoomus && chmod 000 ~ /.zoomus ;

 

pkill " RingCentralOpener " ; rm -rf ~ /.ringcentralopener; touch ~ /.ringcentralopener && chmod 000 ~ /.ringcentralopener ;

 

Ces deux commandes font la même chose ; elles tuent d'abord le serveur caché s'il est en cours d'exécution, puis le suppriment malgré tout son répertoire caché s'il existe. Enfin, ils créent un fichier vide et définissent des autorisations sur celui-ci, de sorte que le serveur masqué ne puisse pas être réinstallé à cet emplacement. Pour les versions actuelles de ces applications, cela est suffisant, mais il est possible qu'une version plus récente subvertisse ce correctif.

 

Dans une déclaration adressée à The Verge et à d’autres publications (ZDNet, par exemple), Zoom déclare avoir développé le serveur Web local afin de préserver l’utilisateur de quelques clics. Apple a modifié son navigateur Web Safari d’une manière qui oblige les utilisateurs de Zoom à confirmer leur volonté à lancer Zoom à chaque fois. La société a déclaré qu'elle allait modifier l'application de manière très simple : à partir de juillet, Zoom enregistrera les préférences des utilisateurs et des administrateurs quant à l'activation ou non de la vidéo lors de leur première participation à un appel.

 

Source : The New York Times