X

News Partenaire

Salesforce Care : une suite gratuite d'applications pour surmonter la crise

La crise épidémique Covid-19 a eu un impact économique sur l'ensemble de l'économie et de manière encore plus aiguë sur des secteurs comme la distribution ou la fabrication. Salesforce Care a aidé et continue d'aider les entreprises à surmonter cette période au travers de différentes technologies et applications dans le domaine du marketing, du collaboratif et de la santé.


Gênantes vulnérabilités dans Zoom, qui s’en fiche un peu

A quel point peut-on sacrifier la sécurité des utilisateurs au confort d’utilisation d’une solution ? Deux failles se nichent dans l’outil de vidéoconférence, l’une permettant de forcer un utilisateur à rejoindre un appel, l’autre d’activer par défaut leur caméra. Mais pour Zoom, ces vulnérabilités sont trop peu sévères pour justifier une réduction de l’ergonomie.

Zoom, c’est formidable ! L’outil de vidéoconférence a cet avantage de proposer à ses utilisateurs de rejoindre une conversation en cliquant sur un simple lien. Pas de fenêtre de demande de confirmation, un clic et le tour est joué. Jonathan Leitschuh, un chercheur en cybersécurité, s’est penché sur cette fonctionnalité et y a découvert deux belles vulnérabilités.

Sur Mac, à partir du moment où un utilisateur a installé l’application Zoom, celle-ci a fait du terminal un serveur web local : c’est par son biais qu’un clic sur un lien ouvre le client Zoom. Premier souci, pointe le chercheur, « ce serveur Web peut faire beaucoup plus que simplement lancer une réunion Zoom. Ce que j’ai découvert, c’est que ce serveur Web peut également réinstaller l’application Zoom si un utilisateur l’a désinstallée ».

Je vous vois

Parmi les différents paramètres envoyés au serveur Web par la page du lien Zoom, Jonathan Leitschuh en a déniché deux de première importance : « action=join » et « confno=[whatever the conference number is] ». A l’aide d’une requête GET exploitant ces deux paramètres, il a pu faire en sorte que son ordinateur rejoigne un appel initié par un autre compte. Concrètement, cette découverte implique qu’un site Web malveillant peut forcer un internaute à rejoindre un appel Zoom.

Rien de très grave a priori, si ce n’est deux choses. La première est que cette vulnérabilité peut avoir pour résultat un déni de service visant le terminal de la victime, en le forçant à boucler sur des appels non valides. La deuxième, cerise sur le gâteau, se trouve dans les réglages d’un appel Zoom. Le créateur d’une vidéoconférence peut en effet définir l’activation par défaut de la caméra et du microphone des participants lorsqu’ils rejoignent l’appel.

« Le serveur Web Zoom du client local s’exécute en arrière-plan. Par conséquent, pour l’exploiter, il n’est même pas nécessaire que l’utilisateur exécute (au sens traditionnel du terme) l’application Zoom pour être vulnérable » explique le chercheur. « Tout ce qu'un site Web doit faire est d'intégrer ce qui précède [la requête GET] à son site Web et tout utilisateur de Zoom sera instantanément connecté et sa vidéo en cours d'exécution ».

Confort vs sécurité

Prévenu il y a plus de trois mois, Zoom ne s’est guère empressé de corriger le tir. Tout juste l’entreprise a-t-elle fait en sorte d’empêcher l’activation par défaut de la caméra. Sur Medium, le délai de non-divulgation de 90 jours étant écoulé, le chercheur livre ses conclusions. « Avoir pour chaque utilisateur de Zoom un serveur Web acceptant les requêtes HTTP GET qui déclenchent du code en dehors du sandbox du navigateur, cela représente une énorme cible dans le dos de Zoom » signale-t-il.

Zoom a réagi de façon assez… inattendue. Concernant le risque de DOS, il reconnaît le problème et signale avoir publié un correctif en mai (qui selon le chercheur ne résout rien) sans toutefois contraindre ses utilisateurs à l’installer « parce qu'il s'agit empiriquement d'une vulnérabilité à faible risque ». Quant au serveur web localhost et son fonctionnement, Zoom écrit qu’il s’agit d’une solution « de contournement à une modification introduite dans Safari 12 qui nécessite qu'un utilisateur confirme qu'il souhaite démarrer le client Zoom avant de rejoindre chaque réunion. Le serveur Web local permet aux utilisateurs d'éviter ce clic supplémentaire avant de rejoindre chaque réunion ». Et de soutenir sa décision, et le fait qu’il n’y apportera aucun changement, au nom de l’expérience utilisateur.

« Nous avons déterminé que les problèmes du DOS et de rejoindre une réunion avec la caméra posaient un risque faible car, dans le cas de la DOS, aucune information d'utilisateur n'était en danger et, dans le cas de la participation à la réunion, les utilisateurs pouvaient choisir leurs réglages » ajoute Zoom. Le chercheur, quant à lui, fournit dans sa publication plusieurs méthodes d’atténuation du problème.


Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider
Autres infos Sécurité







Offres d'emploi informatique avec  Emploi en France
jooble

Aujourd'hui, les Directeurs Comptables et Financiers ont envie de dématérialiser leurs factures fournisseurs. C'est plutôt l'idée de devoir s'intégrer à un environnement multi-ERP déjà existant qui les freine. Mais est-ce réellement une barrière ? Dans son nouveau Livre Blanc, Esker explore ce sujet. En le téléchargeant, vous découvrirez comment la dématérialisation peut être une aubaine plutôt qu'un fardeau.


Actuellement, il existe un gouffre entre les environnements informatiques traditionnels des entreprises et le cloud public. Tout diffère : les modèles de gestion, de consommation, les architectures applicatives, le stockage, les services de données.


Les avantages de l’architecture hyperconvergée étant de plus en plus reconnus, de nombreuses entreprises souhaitent l’utiliser pour des types d’applications variés. Cependant, son manque de souplesse pour une mise à niveau des ressources de calcul indépendantes de celles de stockage ne lui permet pas d’être utilisée plus largement.

Au cours de l’événement HPE Discover qui s’est tenu en juin 2019, HPE a répondu à cette préoccupation en présentant la plateforme HPE Nimble Storage dHCI.

Ce Livre Blanc IDC se penche sur les exigences du marché ayant stimulé le besoin de solutions HCI plus flexibles, puis il examine brièvement la solution HPE Nimble Storage dHCI en expliquant pourquoi elle répond à ce besoin.


Découvrez dans ce livre blanc, les avantages des toutes nouvelles solutions NETGEAR, pour simplifier et rentabiliser vos déploiements, et gérer votre réseau à distance, où que vous soyez, au bureau ou en télé-travail.


Tous les Livres Blancs
Culture & Numérique

Culture & Numérique

Si la culture a pu être aussi avidement consommée lors du confinement, c’est avant tout parce que le secteur n’a pas attendu la Covid-19 pour faire sa transformation numérique. Une transformation qui s’est...

Project Reunion

Project Reunion

Microsoft a dévoilé à l’occasion de sa conférence annuelle Build, dédiée aux développeurs, les tout premiers contours de Project Reunion. L’objectif recherché est de faciliter le...

Télétravail & VPN

Télétravail & VPN

Alors que toutes les entreprises françaises ont été tenues de se tourner vers le télétravail lors de la période de confinement, le recours au Virtual Private Network s’est largement imposé...

Power over Ethernet

Power over Ethernet

Faciliter l’installation et la gestion d’un parc réseau tout en profitant de performances et de services innovants, voici les promesses de la technologie PoE (Power over Ethernet) ou Alimentation électrique par...

Health Data Hub

Health Data Hub

Peu de projets français d’IA auront suscité autant de controverses. La récente plate-forme de données et de services cloud pour la recherche en santé s’est fait de nombreux ennemis. En cause : le...

RSS
hardcore black fuck malay hijab fuck big black dick
Afficher tous les dossiers

QUELLE IT POUR DEMAIN ? SaaS, Hybride, Shadow IT, Green IT... - Collaboration dans le Cloud : quelles alternatives à Office 365 ? - Intégration continue : les meilleurs outils et pratiques CI/CD - École 42 : le peer to peer learning ça fonctionne ! - Startups : les bonnes recettes de Yuka - 2010-2019 : la décennie qui changea l’information géographique...

 

IT DU MONDE D'APRÈS, IT DE DEMAIN (1) : automatisation, gestion de l'info, mobilité, sécurité - Health Data Hub - Le VPN meilleure solution pour le télétravail ? - Project Reunion Microsoft : retour des apps universelles - Power Over Ethernet, une avancée discrète - Pourquoi Apple choisit ARM plutôt qu'Intel ? - La Silicon Valley dans tous ses états - Produits high tech de loisirs du moment...

 

GESTIONNAIRE DE MOTS DE PASSE : un outil indispensable ? - Pandémie & Tech : gagnants et perdants - Multicloud : réalité d'aujourd'hui, impacts sur l'infrastructure et l'applicatif - Project Reunion Microsoft - No Code/Low Code en plein essor - Cobol V6 - Cyberattaques Covid-19 - L'emploi au temps du Corona...

 

Afficher tous les derniers numéros
Derniers commentaires
Un agent des douanes américaines avec son chien recherche des drogues opiacées dans le courrier au centre de tri postal de l'aéroport John F. Kennedy à New York, le 24 juin 2019Une opération ciblant le "dark web", une partie cachée d'internet, a permis l'arrestation de 179 vendeurs présumés de drogues opiacées et autres marchandises illicites en Europe et aux Etats-Unis, ont annoncé mardi le ministère américain de la Justice et l'agence européenne de police Europol. [Lire la dépêche...]

TikTok souhaite se coordonner avec neuf autres géants des réseaux sociaux pour identifier et retirer rapidement des plateformes des images ultra-violentes, dont celles de suicideTikTok souhaite se coordonner avec neuf autres géants des réseaux sociaux pour identifier et retirer rapidement des plateformes des images ultra-violentes, dont celles de suicide, a annoncé mardi la firme chinoise lors d'une audience devant le Parlement britannique.  [Lire la dépêche...]

Manifestation contre la violence sexuelle le 23 novembre 2019 à Marseille"Street Alert", "Garde ton corps", "Sekura"... Les applications mobiles de lutte contre le harcèlement de rue se sont multipliées, permettant aux femmes d'appeler à l'aide grâce à un bouton "alerte" qui indique leur position. Mais les modalités d'utilisation, voire l'existence même de ces dispositifs suscitent des interrogations. [Lire la dépêche...]

Le patron de Tesla Elon Musk, lors d'une visite sur le site de construction d'une usine en Allemagne le 3 septembre 2020 Tesla, qui a révolutionné la voiture électrique, organise mardi une très attendue "Journée de la batterie" au cours de laquelle devraient être dévoilées des annonces "passionnantes", a assuré son patron Elon Musk.  [Lire la dépêche...]

L'organisation de défense des consommateurs UFC-Que Choisir a décidé de déposer plainte pour L'organisation de défense des consommateurs UFC-Que Choisir a décidé de déposer plainte pour "obsolescence programmée" contre le fabricant de consoles de jeu vidéo Nintendo, accusé par l'association de mettre sur le marché des manettes tombant très rapidement en panne. [Lire la dépêche...]

Lancée en septembre 2016 par le groupe chinois ByteDance, TikTok sert à partager de courtes vidéosL'application chinoise TikTok, qui rencontre un succès planétaire grandissant, est au coeur d'une saga diplomatico-technologique entre Washington et Pékin. [Lire la dépêche...]

Un youtubeur spécialisé dans le fitness accusé de harceler et lancer des meutes numériques contre d'autres influenceurs du même univers, condamné à deux ans de prison dont un ferme par le tribunal de VersaillesUn youtubeur spécialisé dans le fitness accusé de harceler et lancer des meutes numériques contre d'autres influenceurs du même univers a été condamné à deux ans de prison dont un ferme avec mandat de dépôt lundi par le tribunal de Versailles. [Lire la dépêche...]

A moins de deux mois du lancement de sa nouvelle console Xbox, Microsoft acquiert  pour 7,5 milliards de dollars ZeniMax, la maison mère de l'éditeur des séries à succès A moins de deux mois du lancement de sa nouvelle console Xbox, Microsoft a envoyé un message fort à son principal rival Sony en rachetant pour 7,5 milliards de dollars ZeniMax, la maison mère de l'éditeur des séries à succès "The Elder Scrolls" et "Fallout". [Lire la dépêche...]

Toutes les dépêches AFP
AgendaIT

DOCUMATION

Congrès et exposition Documation du 22 au 24 septembre 2020  à Paris Porte de Versailles (Pavillon 4.3). Organisé par Infopromotions.

IOT WORLD - MTOM

IoT World / MtoM & Objets connectés - Embedded se tient, en parallèle de Cloud + Data Center, les 23 et 24 septembre 2020 à Paris, Porte de Versailles (Hall 5.3). Organisée par Cherche Midi Expo.

SSI SANTÉ

Le 8ème Congrès National de la Sécurité des SI de Santé a lieu du 29 septembre au 1er octobre 2020 au Mans. Organisé par l'Apssis (Association Pour la Sécurité des Systèmes d'Information de Santé).

LES ASSISES

Grand rendez-vous annuel des RSSI, les Assises de la cybersécurité se tiennent à Monaco (Grimaldi Forum) du 14 au 17 octobre 2020. Organisées par DG Consultants / Comexposium.

READY FOR IT

La première édition de Ready For IT se déroule du 17 au 19 novembre 2020 à Monaco (Grimaldi Forum) : conférences, keynotes, ateliers et rendez-vous one-to-one. Organisé par DG Consultants.
RSS
hardcore black fuck malay hijab fuck big black dick
Voir tout l'AgendaIT