Vous êtes dans : Accueil > Tribunes libres >

Covid-19 et vidéo-conférence : Pourquoi Zoom n’est pas la solution idéale ?

Charles Blanc-Rolin, MARDI 07 AVRIL 2020 Soyez le premier à réagirSoyez le premier à réagir

Depuis une semaine, l’application de vidéo-conférence Zoom fait couler de l’encre à n’en plus finir dans le domaine de la sécurité. Si personne ne vous a encore demandé un accès à cet outil dans votre établissement, ça ne devrait pas tarder, sauf si… un utilisateur l’a déjà utilisé à votre insu. Après avoir commencé à recenser quelques informations pertinentes sur le sujet [1], et vu qu’il y de la matière, j’ai pensé qu’il serait intéressant de les partager avec vous, sous forme de synthèse dans ce billet.

webcam

Poisson d’avril ou pas (sûrement pas, d’ailleurs), Zoom a annoncé en ce premier jour du mois avoir vu son utilisation multipliée par 20, entre le mois de décembre et le mois de mars [2]. Si bien que depuis quelques jours, les serveurs semblent avoir du mal à absorber la charge, d’après les messages postés sur le forum utilisateurs de l’application [3] et les signalements publiés sur le site Downdetector [4].

zoom_down_detector

Avant d’utiliser cet outil, il est important de bien avoir certaines informations en tête :

#PINOCCHIO

La société Zoom se targue de fournir du chiffrement de bout en bout dans sa solution. Je ne sais pas pourquoi raisonne toujours dans ma tête cette phrase d’un intervenant très bon techniquement avec qui j’avais plaisir à travailler, et qui disait toujours : « ça c’est du discours commercial avant vente à la con ».

zoom_fake

Non, Zoom ne fait pas du chiffrement de bout en bout comme l’a révélé un très pertinent article de The Intercept [5]. Zoom propose un canal chiffré via TLS entre les clients connectés et ses serveurs, ce qui n’est pas la même chose, et a d’ailleurs fini par l’avouer le lendemain sur son propre blog [6].
Ce qui veut dire qu’un attaquant qui arriverait à se positionner en position de Man In The Middle, pourrait, en trouvant une vulnérabilité, déchiffrer le flux. La société Zoom, même si elle prétend ne pas la faire évidemment, nous pouvons la croire sur parole, pourrait parfaitement déchiffrer les données échangées également.

Sans vouloir enfoncer le clou à la manière de Ponce Pilate, The Intercept en remet une couche quelques jours plus tard [7] en faisant référence à un rapport publié par Citizen Lab [8] qui met en avant de nouvelles faiblesses et un nouveau mensonge.

zoom_fake

Zoom annonce dans son livre blanc sur la sécurité, « chiffrer en AES-256 » les communications des participants à une réunion. Après analyse, les chercheurs canadiens, ont observé que lors de chaque réunion Zoom, seule une clé AES-128 était utilisée, d’autant plus en mode ECB[9]. Ce mode de chiffrement, considéré comme simple par les cryptologues et déprécié car le chiffrement de deux blocs avec un même contenus, donneront le même résultat chiffré. Il peut donc permettre à un attaquant tirer des informations à partir du texte chiffré en cherchant les séquences identiques et par conséquent de décrypter les informations,ici en transit sur Internet, ce que dénonce le rapport. Exemple parlant, avec la figure ci-dessous qui montre une image originale et ce qu’elle pourrait donner avec le mode de chiffrement utilisé par Zoom :

ecb_encryption

Les chercheurs ont également constaté que l’entreprise américaine, s’appuyait parfois sur des serveurs situés en Chine pour générer la clé de chiffrement. Cela n’a sans doute rien à voir avec le fait que son fondateur et PDG, ayant travaillé sur le développement de Webex, la solution équivalent de Cisco est de nationalité chinoise [10].
Une société américaine, qui s’appuie sur des serveurs Chinois, on n’est pas au top en matière de protection des données, entre le Cloud Act et la Chine qui n’est absolument pas reconnue comme pays adéquat pour le transfert de données à caractère personnel par l’Union Européenne [11].
Autant dire que si vous aviez dans l’idée de faire de la téléconsultation avec la solution, il vaut mieux arrêter tout de suite !

#PIREENCORE

Vous l’aurez compris, contrairement à ce qui est écrit sur le papier, l’application n’est pas géniale en matière de sécurité, mais on peut faire pire encore. Dans ce contexte de confinement généralisé, les attaquants, toujours aussi visionnaires, ont bien perçu l’engouement des utilisateurs pour cette application et ont commencé par enregistrer des domaines reprenant le nom de l’application, comme l’a annoncé Check Point la semaine dernière [12], pour mettre à disposition sur des sites frauduleux, des versions « vérolées » de l’installateur légitime du client Zoom, permettant au passage l’installation d’un cryptominner comme le signalent les chercheurs de Trend Micro [13], ou encore des chevaux de Troie comme le relate un article de Bleeping Computers [14].

#PINOCCHIOLERETOUR

Alors que la société vante ses mérites en matière de protection des données, un article du New York Times [15] révèle que l’application permettait « secrètement » de faire le lien entre des participants à une réunion Zoom et leur profil Linkedin pour en collecter les données à leur insu. La fonctionnalité payante aurait été désactivée d’après Eric S. Yuan.
N’oublions pas non plus que Zoom s’est fait prendre la main dans le sac à partager des informations avec Facebook [16].

#ENCOREDESVULNÉRABILITÉS

Si vous pensiez que ça s’arrêtait là, malheureusement, ce n’est pas le cas.
Comme les navigateurs Edge et Internet Explorer, le client Zoom pour Windows pourrait permettre de révéler les informations de connexion Windows d’un utilisateur[17] notamment du compte Active Directory si le poste est connecté à un domaine Microsoft. En cliquant sur un simple lien UNC (partage de fichiers SMB) envoyé via la fonction chat, l’attaquant pourrait récupérer l’identifiant de l’utilisateur, ainsi que le hash NTLM de son mot de passe, qu’il pourrait par la suite tenter de casser pour retrouver le mot de passe ou l’utiliser directement sur des machines acceptant du path the hash [18].
Cette fuite d’informations peut être restreinte via une GPO, mais qui nécessite d’auditer au préalable les connexions utiles aux serveurs SMB internes [19].

#LEVERESTDANSLAPOMME

Pour ceux qui pensent que sur macOS, c’est toujours mieux, l’analyste Felix Seele (VMRay) explique en détails que l’installateur Zoom pour macOS réalise une élévation de privilège pour obtenir les droits root sur la machine [20], ce qui pourrait être exploité par un attaquant pour installer un logiciel malveillant dans la pomme.

Alors, si vous devez utiliser cette application, attention aux usages ! Ne l’utilisez surtout pas pour partager des informations sensibles, telles que des données de santé par exemple. Téléchargez le client sur le site officiel et appliquez à minima les paramètres de confidentialité préconisés par l’EFF [21]. Sinon, ne l’utilisez pas, c’est encore mieux !


[1] https://www.forum-sih.fr/viewtopic.php?f=78&t=1405&p=5733#p5726

[2] https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/

[3] https://devforum.zoom.us/t/in-progress-web-sdk-web-client-from-browser-403-forbidden/10782

[4] https://downdetector.com/status/zoom/

[5] https://theintercept.com/2020/03/31/zoom-meeting-encryption/

[6] https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/

[7] https://theintercept.com/2020/04/03/zooms-encryption-is-not-suited-for-secrets-and-has-surprising-links-to-china-researchers-discover/

[8] https://citizenlab.ca/2020/04/move-fast-roll-your-own-crypto-a-quick-look-at-the-confidentiality-of-zoom-meetings/

[9] https://fr.wikipedia.org/wiki/Mode_d%27op%C3%A9ration_%28cryptographie%29#Dictionnaire_de_codes_:_%C2%AB_Electronic_codebook_%C2%BB_(ECB)

[10] https://en.wikipedia.org/wiki/Eric_Yuan

[11] https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde

[12] https://blog.checkpoint.com/2020/03/30/covid-19-impact-cyber-criminals-target-zoom-domains/

[13] https://blog.trendmicro.com/trendlabs-security-intelligence/zoomed-in-a-look-into-a-coinminer-bundled-with-zoom-installer/

[14] https://www.bleepingcomputer.com/news/security/psa-fake-zoom-installers-being-used-to-distribute-malware/

[15] https://www.nytimes.com/2020/04/02/technology/zoom-linkedin-data.html

[16] https://www.vice.com/en_us/article/z3b745/zoom-removes-code-that-sends-data-to-facebook

[17] https://www.bleepingcomputer.com/news/security/zoom-lets-attackers-steal-windows-credentials-run-programs-via-unc-links/

[18] https://en.wikipedia.org/wiki/Pass_the_hash

[19] https://docs.microsoft.com/fr-fr/windows/security/threat-protection/security-policy-settings/network-security-restrict-ntlm-outgoing-ntlm-traffic-to-remote-servers

[20] https://www.vmray.com/cyber-security-blog/zoom-macos-installer-analysis-good-apps-behaving-badly/

[21] https://www.eff.org/deeplinks/2020/04/harden-your-zoom-settings-protect-your-privacy-and-avoid-trolls

sécurité, dsih, data, microsoft, sih, has, cnil