> Update du 10/07/2019 : Face à la polémique, Zoom a déployé un patch vous permettant de désinstaller le serveur web ainsi que l'ensemble des données du logiciel de visioconférence lorsque vous supprimez l'application.

Les failles présentes sur Mac ne sont pas rares. Mais ces dernières sont généralement fixées très rapidement par des équipes officielles. Aujourd'hui c'est une faille vieille de plusieurs mois qui agite la toile : moyennant un simple lien, il est possible de forcer n'importe qui à rejoindre une conférence sur le logiciel Zoom for Mac et même d'activer sa webcam.

L'histoire commence en mars 2019. Jonathan Leitschuh, chercheur en sécurité informatique, découvre qu'il est possible de forcer n'importe quel utilisateur à rejoindre une conférence via l'application Zoom, et ce, sans avoir besoin de son autorisation. Pire encore, si l'option "activer la webcam" n'est pas désactivée (cette dernière ne l'est pas par défaut), n'importe qui peut alors vous voir pendant cette conférence.

Une réinstallation automatique et forcée

Cette faille s'explique par le fait que, lors de son installation, Zoom va dans le même temps vous "offrir" généreusement un serveur web sur votre machine intitulé "localhost". Mais la distribution des cadeaux n'est pas encore terminée puisque si jamais vous venez à désinstaller l'application, le serveur web restera implanté sur votre ordinateur afin de réinstaller Zoom sans même vous consulter. Vraiment trop sympa.

Alertée via Twitter début mars avec plusieurs solutions possibles au problème, l'entreprise Zoom ne daigne répondre aux inquiétudes de Jonathan. Ce dernier les somme d'agir, sans quoi il fera la révélation au monde entier d'ici 90 jours.

Et c'est finalement le 08 juillet que le chercheur décide, via un long post sur Medium, de divulguer toutes les données de la faille ainsi que les non-actions de l'entreprise derrière le logiciel Zoom. Plusieurs utilisateurs testent alors la faille et se retrouvent en pleine vidéoconférence avec des inconnus.

Que faire pour se protéger ?

Si vous avez déjà installé ou possédez encore le logiciel, il est fort probable que vous puissiez être affecté par la faille. La première chose à faire est de vous rendre dans les paramètres du logiciel et de cocher la case "Éteindre la caméra au lancement d'une conférence".

Pour en finir avec le serveur web, il vous faudra cependant effectuer une série de commandes afin de le désactiver en plus de l'empêcher de réinstaller le logiciel. Ces commandes sont trouvables à la fin du post Medium de Jonathan.

Une preuve, s'il en fallait encore une, de masquer l'objectif de vos webcams au quotidien afin d'éviter les mauvaises surprises.