Ils piratent Zoom et empochent 200 000 dollars de récompense
Les compétences des white hats sont de plus en plus valorisées par les grandes entreprises tech.
Le Pwn2Own est un concours annuel organisé à Vancouver (Canada) où l’objectif est de hacker des logiciels grand public. En 2021, les gagnants se sont attaqués à Zoom. Ils ont réussi à y exécuter du code arbitraire, soit des actions sans l’accord du propriétaire de la machine où était installé le programme. Ils ont alors découvert une faille zero-day partagée depuis avec l’éditeur… qui sponsorisait l’événement.
Rémunérée à hauteur de 200 000 dollars, la prouesse est expliquée en détail dans la vidéo ci-dessous. Il suffit d’un simple ordinateur sous Windows 10 et de quelques tours de passe-passe, ce qui ne vient pas redorer le blason d’une entreprise déjà victime de nombreuses critiques. En effet, tout le monde sait désormais que converser avec Zoom est particulièrement risqué pour sa confidentialité depuis que les connivences avec le gouvernement chinois ont été confirmées par des backdoors. Mais pas que.
We're still confirming the details of the #Zoom exploit with Daan and Thijs, but here's a better gif of the bug in action. #Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW
— Zero Day Initiative (@thezdi) April 7, 2021
Un cauchemar pour la sécurité
En effet, entre des centaines de milliers de comptes volés en vente libre sur le dark net ou encore la revente de données personnelles à Facebook, il est désormais d’intérêt public de savoir que la plateforme n’est pas des plus attentives à la vie privée. Si bien que la majorité des professionnels l’ont tout simplement bannie de leurs ordinateurs, afin d’éviter de faire fuiter des informations secrètes et primordiales à leur activité.
Même les établissements scolaires comme certaines universités ont choisi d’interdire Zoom sur leur campus, pour des raisons similaires. Par conséquent, le cours de son action au NASDAQ est en chute libre depuis que les scandales continuent d’éclater.
Toujours aucun changement de l’interface
De plus, l’expérience utilisateur du logiciel même est particulièrement peu intuitive. L’application n’est en effet pas réactive et il faut souvent de longues minutes avant d’arriver à y connecter tous les participants. La plupart des temps, ces derniers ne s’y retrouvent tout simplement pas à cause de réglages trop complexes et d’un design couleur années 2000 qui n’a toujours pas été revisité malgré les doléances des internautes.
La concurrence s’en donne donc à cœur joie : Google Meet et Whereby sont depuis devenues des alternatives incontournables, dont la liste est longue.
