Une erreur de débutant dans le programme d’installation de Zoom sur Mac a entraîné une énorme faille de sécurité, permettant aux pirates de faire à peu près n’importe quoi sur votre ordinateur.

Zoom a une longue histoire de failles de sécurité et de confiance, allant de l’installation de serveurs web secrets sur votre ordinateur à des mensonges sur le nombre d’utilisateurs actifs quotidiens. Aujourd’hui, Patrick Wardle, chercheur en sécurité sur Mac, a découvert une faille dans le programme d’installation qui vous laisse ouvert à l’exploitation. Compte tenu de ses antécédents, il semble probable que Zoom connaisse des problèmes similaires à l’avenir, alors comment se protéger ?

« Peut-être le marché punira-t-il Zoom pour cette faille de sécurité, mais cela met en lumière un problème bien plus important dans le domaine des cybermenaces. La plupart des « utilisateurs réguliers » (lire : les consommateurs) utilisent un logiciel antivirus. Ce qu’ils ne réalisent pas, cependant, c’est que ces technologies traditionnelles ne suivent pas l’évolution rapide des menaces et des exploits utilisés par les cybercriminels », a déclaré Chase Norlin, expert en cybersécurité et PDG de Transmosis, par courriel.

Comment mettre à jour Zoom sur votre bureau (Windows ou Mac)

Zoom arrière

Zoom est devenu le moyen de vidéoconférence par défaut au cours des dernières années, principalement parce qu’il est si facile de mettre en place et de rejoindre un appel. Mais son ascension épique a été émaillée d’atteintes à la vie privée, à la confiance et à la sécurité. La dernière en date fonctionne comme suit.

Lorsque vous installez Zoom sur votre Mac, vous devez entrer un mot de passe d’administrateur pour donner à l’installateur des privilèges élevés lui permettant d’ajouter des fichiers à des parties profondes du système. Wardle a découvert que Zoom conserve ces privilèges même après l’installation, afin d’installer les futurs correctifs sans vous redemander votre mot de passe.

Désinstallez simplement toutes les applications de réunion de votre ordinateur. Utilisez la version navigateur du client de réunion.
Ils fonctionnent bien maintenant.

Ce ne serait qu’un abus de confiance, ou du moins d’attentes. Mais le programme d’installation n’a pas non plus réussi à vérifier et à identifier correctement les correctifs Zoom ultérieurs. Cela signifie qu’un malware pourrait se faire passer pour une mise à jour de Zoom et obtenir un accès complet pour s’installer.

Wardle a déclaré au Verge qu’il avait signalé cette vulnérabilité pour la première fois en décembre de l’année dernière. Le correctif de Zoom a introduit un autre bogue qui permettait un exploit similaire, et il a fallu huit mois pour le corriger. C’est un gros souci pour les personnes qui doivent utiliser le logiciel. Comment savons-nous que la version actuelle de Zoom ne contient pas encore plus de logiciels malveillants et d’exploits ?

Beaucoup d’entre nous ne peuvent pas simplement arrêter d’utiliser Zoom. Vous en avez peut-être besoin pour des réunions lorsque vous travaillez à domicile, et le logiciel est tout simplement trop répandu pour être complètement ignoré. Heureusement, il existe quelques moyens de se protéger.

Se protéger

Dans le cas spécifique de Zoom, la meilleure façon d’éviter les failles de sécurité est de ne pas installer le logiciel de bureau. L’une des meilleures caractéristiques de Zoom est que n’importe qui peut rejoindre un appel en cliquant simplement sur un lien et en se connectant via son navigateur web.

« Désinstallez simplement toutes les applications de réunion de votre ordinateur. Utilisez la version navigateur du client de réunion. Ils fonctionnent bien maintenant. Les applications exécutent des choses en arrière-plan, et je ne parlerai même pas des choses stupides pour lesquelles elles gaspillent du temps CPU alors que vous ne les utilisez même pas 99,9 % du temps », a déclaré SwitftOnSecurity sur Twitter.

Si vous voulez utiliser votre Mac ou votre PC pour Zoom, alors c’est la voie à suivre. Bien qu’une application basée sur un navigateur puisse avoir ses propres problèmes de sécurité, elle ne permet pas d’installations malhonnêtes au niveau de la racine. Vous ne bénéficierez peut-être pas de toutes les fonctionnalités, mais si vous ne faites que des appels vidéo, c’est parfait.

Si vous avez un iPhone ou un iPad, vous pouvez travailler avec. L’iPhone est probablement trop petit, mais un iPad 12,9 pouces de taille normale ou plus est idéal, avec en prime une meilleure caméra que celle intégrée à votre MacBook, iMac ou Studio Display.

Grâce au fonctionnement de l’App Store et au fait que toutes les applications ne peuvent s’exécuter qu’à l’intérieur de leur propre « sandbox », qui les isole du reste du système, elles sont plus sûres que les applications de bureau, en particulier celles qui nécessitent un installateur pour répandre des parties d’elles-mêmes profondément dans votre système.

Bien que les utilisateurs de Mac n’aient généralement jamais eu à s’inquiéter des virus, vous perdez une grande partie de la protection intégrée dès que vous tapez votre mot de passe. Il faut donc se méfier de tout logiciel nécessitant un mot de passe pour son installation, même s’il s’agit d’une application légale. Si vous ne faites pas confiance au développeur ou à sa réputation, allez voir ailleurs.