Ce n’est pas un exercice, les amis — il est temps de mettre à jour votre application Zoom, et vous devez le faire dès maintenant si vous voulez préserver la sécurité de votre ordinateur.
Les utilisateurs de Mac peuvent maintenant télécharger la toute dernière mise à jour de Zoom à la version 5.11.5. La mise à jour de Zoom inclut le bug qui affecte la sécurité des utilisateurs — un pirate de prendre le contrôle du système d’exploitation d’un utilisateur, et a été présentée par Patrick Wardle, chercheur en sécurité et fondateur de la Fondation Objective-See, une organisation à but non lucratif qui crée des outils de sécurité macOS open source, le vendredi 12 août dernier, comme rapporté par The Verge.
Wardle a exprimé sa gratitude envers l’entreprise sur Twitter pour avoir effectué un « fix incroyablement rapide ». L’exploit vise l’installateur Zoom, qui nécessite des autorisations spéciales de l’utilisateur pour être exécuté. En exploitant cet outil, Wardle a découvert que les pirates pouvaient essentiellement tromper Zoom pour installer un programme malveillant en plaçant la signature cryptographique de Zoom sur le paquet. À partir de là, les attaquants peuvent ensuite obtenir un accès supplémentaire au système d’un utilisateur, les laissant modifier, supprimer ou ajouter des fichiers sur l’appareil.
🆕 Update(s) :
🐛 Bug assigned CVE-2022-28756
🩹 Patch now available, in Zoom v5.11.5 (9788)See Zoom’s security bulletin: https://t.co/xUpE4jS6ck
Mahalos to @Zoom for the (incredibly) quick fix! 🙌🏽 🙏🏽 pic.twitter.com/GGtM3EUT7s
—patrick wardle (@patrickwardle) August 14, 2022
Pour installer la mise à jour 5.11.5, il suffit de cliquer sur zoom.us dans la barre de menu en haut de l’écran, à cliquer sur « Vérifier les mises à jour » et à sélectionner « Mettre à jour pour commencer ». Zoom affichera les détails de la mise à jour sur l’application elle-même.
Le bug a été présenté à la conférence de sécurité DefCon de Las Vegas, où il a détaillé le problème. Zoom reconnaît ce problème en l’incluant dans son bulletin de sécurité le jour suivant la conférence de Wardle, et en résolvant immédiatement le bug par une nouvelle mise à jour. Dans sa présentation, Wardle a indiqué que lorsque les utilisateurs saisissent leur mot de passe, la fonction de mise à jour automatique fonctionne en permanence en arrière-plan et a un accès complet à ce qu’ils tapent. Grâce à cela, l’attaquant a maintenant le pouvoir de faire de la subversion malveillante, car il a déjà l’accès initial à la cible.
Un correctif déjà poussé
Le chercheur en sécurité a également présenté les bugs et les moyens de résoudre le problème avant sa présentation de vendredi dernier, mais Zoom a retardé son intervention pendant quelques mois et n’a pris des mesures qu’après la conférence. Zoom a également publié un correctif avant la présentation de Wardle, mais son analyse a permis d’identifier un bug qui permet également l’exploitation des attaquants.
Le même jour que la présentation, le responsable de la sécurité et de la confidentialité de Zoom a publié une déclaration sur The Verge et a déclaré que la société est pleinement consciente des vulnérabilités de la fonction de mise à jour automatique pour macOS, et qu’elle a travaillé sur la déclaration publiée dans son bulletin de sécurité.
Si vous n’êtes pas sûr que votre Zoom ait besoin d’une mise à jour, la société a déclaré que cet exploit affecte les versions 5.7.3 à 5.11.3 de l’application macOS. À partir de la version 5.11.5, le correctif a été appliqué, et il semble que nous pouvons considérer que l’exploit est corrigé et oublié — du moins jusqu’à ce que quelqu’un d’autre détecte un indice de problème dans l’application Zoom. En supposant que vous n’utilisez pas Zoom fréquemment, il convient de noter que vous n’avez même pas besoin d’installer le logiciel pour l’utiliser. Zoom peut être utilisé dans le navigateur, et tant que l’animateur de la réunion vous envoie un lien pour vous y joindre, vous n’aurez pas besoin de télécharger l’application. C’est un moyen de rester en sécurité, mais cela peut devenir fastidieux si vous passez votre temps à entrer et sortir des appels Zoom.