Il a été récemment découvert que le populaire logiciel de vidéoconférence, Zoom, contenait une grave vulnérabilité de sécurité mettant en péril des millions d’utilisateurs sur Mac. Selon le chercheur en sécurité Jonathan Leitschuh, qui a détaillé le sujet dans un article sur Medium, la faille de sécurité pourrait potentiellement être utilisée par un hacker pour accéder à la webcam d’un Mac sans la permission de l’utilisateur.
La vulnérabilité affecte le client Zoom sur Mac, selon Leitschuh, qui a expliqué que « tout site Web malveillant » pouvait accéder à la webcam d’un Mac sans autorisation. De plus, le chercheur en sécurité a constaté que ce même problème de sécurité permettait à n’importe quelle page Web de DDoS (Denial of Service) un utilisateur Mac en lui demandant de se joindre à répétition à un appel invalide.
Leitschuh a constaté que même si un utilisateur Mac avait désinstallé le client Zoom, un serveur Web localhost resterait sur la machine de l’utilisateur, le réinstallant sans aucune interaction de la part de l’utilisateur, hormis la visite d’une page Web. Cela présentait un risque énorme pour le grand nombre d’entreprises qui utilisent Zoom comme moyen quotidien de visioconférence et plus encore.
Comme TechCrunch l’a découvert pour la première fois, Apple a discrètement publié une mise à jour Mac qui supprime ce serveur Web masqué, l’empêchant ainsi de réinstaller le client après que l’utilisateur l’a désinstallé. Les utilisateurs de macOS ne sont pas tenus de prendre aucune mesure par rapport à cette mise à jour — tout est automatique.
Apple prend les devants
Cette mise à jour d’Apple garantira que les utilisateurs de Mac seront protégés de la vulnérabilité cachée du serveur Web, mais cela n’affectera pas la fonctionnalité de l’application Zoom. Elle suit la propre mise à jour de Zoom publiée le 9 juillet, un jour après la publication du rapport de sécurité. Les utilisateurs doivent mettre à jour le client. Quoi qu’il en soit, Apple craint apparemment que suffisamment d’utilisateurs ne mettent pas à jour l’application elle-même ou ne soient pas au courant de la controverse dès le départ, pour publier son propre correctif.
Cela est parfaitement logique, non seulement parce que de nombreux utilisateurs peuvent ne pas ouvrir Zoom avant un certain temps, mais aussi parce que nombre d’entre eux ont désinstallé l’application. Avant la mise à jour d’urgence de Zoom, la désinstallation de l’application laissait le serveur Web sur votre ordinateur. Ainsi, Zoom n’avait aucun moyen de le désinstaller avec une application mise à jour. Cela signifie que le seul moyen raisonnable et facile pour ces personnes d’obtenir ce correctif est qu’Apple applique le correctif.