Des chercheurs de Check Point aident à corriger une faille de sécurité dans Zoom
Les pirates avaient la possibilité de se faire passer pour le lien URL Zoom personnalisé d'une organisation et d'envoyer des invitations d'apparence légitime à leurs victimes
Les chercheurs de la société israélienne de cybersécurité Check Point Software Technologies Ltd. ont déclaré jeudi avoir aidé le fabricant du populaire logiciel de vidéoconférence Zoom à trouver et à résoudre un problème de sécurité qui aurait pu conduire à des tentatives d’hameçonnage réussies.
Le hameçonnage est une tentative frauduleuse d’obtenir des informations ou des données sensibles, comme des noms d’utilisateurs, des mots de passe ou des données de cartes de crédit, par des criminels se faisant passer pour des entités de confiance dans les communications électroniques avec leurs victimes ; les pirates envoient à celles-ci des liens sur lesquels elles doivent cliquer et qui les incitent ensuite à entrer des informations personnelles sur de faux sites web.
Les mesures de confinement imposées à l’échelle mondiale par la pandémie de coronavirus ont entraîné une forte augmentation de l’utilisation de la plateforme de vidéoconférence Zoom, dont le nombre de participants quotidiens aux réunions est passé de 10 millions en décembre 2019 à plus de 300 millions en avril.
Mais cette croissance explosive de l’utilisation du logiciel a entraîné dans son sillage des cyber-criminels, ont rapporté les chercheurs de la société de cyber-sécurité.
La croissance explosive de l’utilisation de Zoom a été accompagnée d’une augmentation des enregistrements de nouveaux domaines avec des noms comprenant le mot « Zoom », ce qui indique que les cybercriminels ciblent les domaines Zoom comme appât pour attirer les victimes », ont écrit Adi Ikan, Liri Porat et Ori Hamama dans un article de blog de la société israélienne. « Nous avons également détecté des fichiers malveillants se faisant passer pour le programme d’installation de Zoom ».
La faille actuelle a été trouvée dans l’URL Vanity de Zoom, qui permet aux organisations de créer une version personnalisée des liens d’invitation de Zoom – ainsi, au lieu du lien Zoom standard, la personne en obtient un avec le nom et le logo de l’organisation.
Avant la correction de la faille, un pirate avait la possibilité d’usurper l’identité du lien Vanity URL d’une organisation, et même le logo de l’entreprise, et d’envoyer des invitations de l’organisation, qui semblaient légitimes, pour tromper une victime.
Une défaillance supplémentaire permettait aux attaquants d’accéder aux sites web officiels des sociétés créées avec Zoom, via lesquels ils pouvaient tenir leurs réunions. Les pirates auraient alors pu inviter les victimes à des réunions, en envoyant des liens à partir de ces sites web. Ainsi, lorsque les victimes cliquaient sur « Rejoindre » pour participer à une réunion et étaient invitées à introduire l’identifiant de celle-ci, elles n’avaient aucun moyen de savoir que l’invitation ne provenait pas de l’organisation légitime, ont expliqué les chercheurs.
« Il existe de nombreux scénarios quotidiens pertinents qui auraient pu être exploités en utilisant cette méthode d’usurpation d’identité, qui aurait pu aboutir à une tentative d’hameçonnage réussie », ont écrit les experts. « Par exemple, un assaillant aurait pu se présenter comme un employé légitime de l’entreprise, en envoyant une invitation à partir de l’URL Vanity d’une organisation à des clients pertinents afin de gagner en crédibilité. Cette activité aurait ensuite pu être mise à profit pour voler des références et des informations sensibles, ainsi que pour d’autres actions de fraude ».
En janvier, les chercheurs de Check Point ont indiqué que les pirates informatiques étaient capables d’identifier et de rejoindre des réunions actives auxquelles ils n’étaient pas invités, ce qui a amené Zoom à introduire rapidement un certain nombre de correctifs qui ont permis d’éviter de telles attaques.
Les chercheurs de Check Point ont également publié des directives (en anglais) sur la manière d’utiliser Zoom en toute sécurité.