La plupart des attaques cyber requièrent de la victime un clic sur un lien frauduleux, ou le téléchargement d’un fichier douteux. Les si bien nommées « vulnérabilités zéro-clic», quant à elles, sont toujours plus présentes car ne demandent aucune mauvaise manipulation de la part de la cible. Natalie Silvanovich, de l’équipe de Google « Projet Zéro », dédiée à la chasse au bug, s’est lancée dans la recherche d’exemples de ce type de failles pour les corriger avant leur exploitation.
La plateforme Zoom, elle aussi concernée par les failles zéro-clic
La liste de l’ingénieure en sécurité Natalie Silvanovich contient à présent la plateforme Zoom qui, jusqu’à présent, dissimule deux failles sans interaction.
Ces deux vulnérabilités pourraient avoir été exploitées pour prendre le contrôle d’un device ou tout serveur Zoom compromis, qui traite les communications de nombreux utilisateurs en plus de celles des victimes d’origine.
La seule option pour les utilisateurs de Zoom est alors d’activer le chiffrement de bout en bout de leurs appels passés depuis la plateforme, ce qui empêcherait l’attaquant ayant accès à ce serveur de surveiller leurs communications.
Une faille présente, mais complexe à exploiter
« Ce projet m’a pris des mois, et je ne suis même pas arrivé au bout de l’attaque. Donc je pense que c’est uniquement accessible aux attaquants expérimentés. » Explique Silvanovich. « Mais je ne serais pas surprise qu’un attaquant s’y essaie. »
Silvanovich a trouvé des vulnérabilités zéro-clic et autres failles dans un certain nombre de plateformes de communication, telles que Facebook Messenger, Signal, FaceTime d’APple, Google Duo et iMessage d’Apple. De même, elle informe qu’elle n’a jamais pensé évaluer Zoom, dans la mesure où l’entreprise a ajouté plusieurs pop-up de notification et autres protections pendant des années, pour s’assurer que les utilisateurs ne se joignent malencontreusement à un appel. Elle explique qu’elle s’est lancée dans l’investigation de Zoom après que des chercheurs aient relevé une vulnérabilité zero-clic sur Zoom, lors du concours de hacking Pwn2Own 2021.
Zoom, une entreprise sécurisée et impliquée
Silvanovich, qui a initialement dévoilé ses découvertes sur Zoom début octobre, précise que la société s’est montré particulièrement réactive et a soutenu son travail. Zoom a corrigé la faille côté serveur et a déployé des mises à jour le 24 novembre 2021. L’entreprise a d’ailleurs publié un bulletin de sécurité et a invité les utilisateurs de Zoom à télécharger la dernière version.
La plupart des services mainstream de vidéoconférence reposent sur des normes open source. Ceci offre aux spécialistes de la cybersécurité la possibilité de les examiner. Dans leur cas, Zoom et FaceTime de Apple sont tous deux propriétaires, ce qui complique fortement l’inspection du système par les hackers white hat.
« Le barrage pour effectuer cette recherche sur Zoom était assez élevé » selon Silvanovich. « Mais j’ai trouvé de sérieux bugs, et parfois je me demande si une des raisons expliquant que je sois la seule à les avoir découvert, ne serait pas ce barrage à franchir. »
Une faille spécifique à exploiter
Vous rejoignez sûrement des appels Zoom en cliquant sur un lien d’invitation que vous avez reçu. Mais Natalie Silvanovich a noté que Zoom est en réalité une plateforme bien plus étendue, avec laquelle les utilisateurs peuvent s’accepter mutuellement en tant que «contact Zoom » puis communiquer par des messages ou des appels, de la même manière qu’un appel ou un sms classique.
Les deux vulnérabilités ne peuvent être exploitées comme attaques sans interaction que lorsque deux comptes sont dans les contacts l’un de l’autre. Cela signifie que la cible principale de ces attaques seraient les utilisateurs actifs sur Zoom.
Les entreprises qui utilisent Zoom ont la possibilité de transférer les communications sur leurs serveurs ou d’établir et maintenir leurs propres serveurs.
Gérer un serveur Zoom peut servir aux groupes qui ont besoin d’un contrôle pour se conformer aux normes industrielles ou réglementaires, ou qui souhaitent simplement garder le contrôle de leurs données.
Toutefois, Silvanovich a découvert que les vulnérabilités peuvent être exploitées non seulement pour cibler les appareils individuels, mais aussi pour prendre le contrôle de ces serveurs.
Les vulnérabilités zéro-clic ont encore de beaux jours devant elles
Le principe d’exploiter des bugs sans interaction n’est pas nouveau dans le domaine du piratage offensif, et de récentes attaques ont montré à quel point elles peuvent s’avérer efficaces. Ces derniers mois ont été les témoins à travers le monde, de gouvernements, qui achètent et utilisent des outils de piratage et des logiciels espions, pour surveiller des activistes, des journalistes, des dissidents, etc. Les failles sous-jacentes se sont également avérées plus fréquentes qu’a priori, dans des services dont des populations dépendent.
« Avec chaque projet, je continue de penser que c’est ce qui me fera en finir avec la messagerie ou la visioconférence ». Mais alors, moi ou d’autres personnes commençons à envisager de nouvelles possibilités et ça continue ».
