Alors que la pandémie de coronavirus continue de forcer les gens à travailler à domicile, d’innombrables entreprises organisent désormais des réunions quotidiennes en utilisant les services de vidéoconférence de Zoom. Mais sans la protection d’un mot de passe, il y a de bonnes chances que votre prochaine réunion Zoom soit «zoom bombardée» – assistée ou interrompue par quelqu’un qui n’appartient pas. Et selon les données recueillies par un nouvel outil automatisé de découverte de réunions Zoom baptisé «zWarDial», un nombre fou de réunions dans les grandes entreprises ne sont pas protégées par un mot de passe.
zWarDial, un outil automatisé pour trouver des réunions Zoom non protégées par mot de passe. Selon ses créateurs, zWarDial peut trouver en moyenne 110 réunions par heure et a un taux de réussite d’environ 14 %.
Chaque conférence téléphonique Zoom se voit attribuer un identifiant de réunion composé de 9 à 11 chiffres. Naturellement, les pirates ont compris qu’ils pouvaient simplement deviner ou automatiser la devinette d’identifiants aléatoires dans cet espace de chiffres.
Experts en sécurité chez Recherche de points de contrôle a fait exactement cela l’été dernier, et ont constaté qu’ils étaient capables de prédire environ 4 % des identifiants de réunion générés de manière aléatoire. Les chercheurs de Check Point ont déclaré que l’activation des mots de passe pour chaque réunion était la seule chose qui les empêchait de trouver une réunion au hasard.
Zoom a répondu en disant qu’il activait les mots de passe par défaut dans toutes les futures réunions programmées. Zoom a également déclaré qu’il bloquerait les tentatives répétées de recherche d’identifiants de réunion et qu’il n’indiquerait plus automatiquement si un identifiant de réunion était valide ou non.
Néanmoins, l’incidence de Zoom bombardement a monté en flèche au cours des dernières semaines, provoquant même une alerte du FBI sur la manière de sécuriser les réunions contre les écoutes clandestines et les fauteurs de troubles. Cela suggère que de nombreux utilisateurs de Zoom ont désactivé les mots de passe par défaut et/ou que la nouvelle fonctionnalité de sécurité de Zoom ne fonctionne tout simplement pas comme prévu pour tous les utilisateurs.
De nouvelles données et reconnaissances de Zoom lui-même suggèrent que ce dernier pourrait être plus probable.
Plus tôt cette semaine, BreachTrace a entendu de Trent Loprofessionnel de la sécurité et co-fondateur de SecKC, le rendez-vous mensuel sur la sécurité le plus ancien de Kansas City. Lo et d’autres membres du SecKC ont récemment créé zWarDialqui emprunte une partie de son nom à les anciens programmes de numérotation de guerre basés sur le téléphone qui a appelé des numéros aléatoires ou séquentiels dans un préfixe de numéro de téléphone donné pour rechercher des modems informatiques.
Lo a déclaré que zWarDial élude les tentatives de Zoom de bloquer les analyses de réunions automatisées en acheminant les recherches via plusieurs proxys dans Torun logiciel gratuit et open source qui permet aux utilisateurs de naviguer sur le Web de manière anonyme.
« Zoom a récemment déclaré avoir corrigé ce problème, mais j’utilise une URL totalement différente et je transmets un cookie avec cette URL », a déclaré Lo, décrivant une partie du fonctionnement de l’outil en arrière-plan. « Cela me donne la [Zoom meeting] informations sur la chambre sans avoir à se connecter.
Lo a déclaré qu’une seule instance de zWarDial peut trouver environ 100 réunions par heure, mais que plusieurs instances de l’outil fonctionnant en parallèle pourraient probablement découvrir la plupart des réunions Zoom ouvertes un jour donné. Chaque instance, a-t-il dit, a un taux de réussite d’environ 14 %, ce qui signifie que pour chaque numéro de réunion aléatoire qu’il essaie, le programme a 14 % de chances de trouver une réunion ouverte.
Seules les réunions protégées par un mot de passe sont indétectables par zWarDial, a déclaré Lo.
« Avoir un mot de passe activé sur la réunion est la seule chose qui le défait », a-t-il déclaré.
Lo a partagé le résultat d’une journée d’analyse zWarDial, qui a révélé des informations sur près de 2 400 réunions Zoom à venir ou récurrentes. Ces informations comprenaient le lien nécessaire pour rejoindre chaque réunion ; la date et l’heure de la réunion; le nom de l’organisateur de la réunion ; et toute information fournie par l’organisateur de la réunion sur le sujet de la réunion.
Les résultats ont été stupéfiants et ont révélé des détails sur les réunions Zoom prévues par certaines des plus grandes entreprises du monde, notamment de grandes banques, des cabinets de conseil internationaux, des services de covoiturage, des sous-traitants gouvernementaux et des sociétés de notation des investissements.
BreachTrace ne nomme pas les entreprises impliquées, mais a pu en vérifier des dizaines en faisant correspondre le nom de l’organisateur de la réunion avec les profils d’entreprise sur LinkedIn.
De loin, le plus grand groupe d’entreprises exposant leurs réunions Zoom se trouve dans le secteur de la technologie et comprend un certain nombre de fournisseurs de technologies de sécurité et de cloud. Il s’agit notamment d’au moins une entreprise technologique qui s’est rendue sur les réseaux sociaux pour avertir les gens de la nécessité de protéger par mot de passe les réunions Zoom !
La répartition des réunions Zoom trouvée par zWarDial, indexée par secteur. Comme illustré ci-dessus, zWarDial a trouvé environ 2 400 réunions exposées en moins de 24 heures. Image : SecKC.
UN GREMLIN DANS LES DÉFAUTS ?
Compte tenu de la prépondérance des réunions Zoom exposées par les entreprises de sécurité et de technologie qui devraient apparemment en savoir plus, BreachTrace a demandé à Zoom si son approche consistant à ajouter des mots de passe par défaut à toutes les nouvelles réunions fonctionnait réellement comme prévu.
En réponse, Zoom a déclaré qu’il enquêtait sur la possibilité que son approche de mot de passe par défaut puisse échouer dans certaines circonstances.
« Zoom encourage fortement les utilisateurs à implémenter des mots de passe pour toutes leurs réunions afin de s’assurer que les utilisateurs non invités ne puissent pas se joindre », a déclaré la société dans une déclaration écrite partagée avec cet auteur.
« Les mots de passe pour les nouvelles réunions sont activés par défaut depuis la fin de l’année dernière, à moins que les propriétaires de compte ou les administrateurs ne se soient désabonnés », poursuit le communiqué. «Nous examinons des cas extrêmes uniques pour déterminer si, dans certaines circonstances, les utilisateurs non affiliés à un propriétaire ou à un administrateur de compte peuvent ne pas avoir activé les mots de passe par défaut au moment où la modification a été apportée.”
La reconnaissance intervient au milieu d’une série de problèmes de sécurité et de confidentialité pour Zoom, qui a vu sa base d’utilisateurs croître de façon exponentielle ces dernières semaines. Fondateur et directeur général de Zoom Eric Yuan a déclaré dans un récent article de blog que le nombre maximum de participants aux réunions quotidiennes – payants et gratuits – est passé d’environ 10 millions en décembre à 200 millions en mars.
Cette croissance rapide a également entraîné un examen supplémentaire de la part des experts en sécurité et en confidentialité, qui ont récemment découvert de nombreux problèmes réels et potentiels avec le service. TechCrunch Zack Whittaker en a une ventilation assez complète ici; pas inclus dans cette liste est une histoire qu’il a racontée plus tôt cette semaine sur une paire de vulnérabilités zero-day dans Zoom qui ont été publiquement détaillées par un ancien expert de la NSA.
Le PDG de Zoom, Yuan, a reconnu que son entreprise avait du mal à répondre à la demande en forte croissance pour son service et à l’examen supplémentaire qui l’accompagne, déclarant dans un article de blog que pendant les 90 prochains jours, tout le développement de nouvelles fonctionnalités était gelé, de sorte que l’entreprise les ingénieurs pourraient se concentrer sur les questions de sécurité.
David Kennedyexpert en sécurité et fondateur du cabinet de conseil en sécurité TrustedSeca écrit un long fil sur Twitter disant que Zoom a certainement eu sa part de gaffes en matière de sécurité et de confidentialité, certains membres de la communauté de la sécurité exacerbent inutilement une situation déjà difficile pour Zoom et les dizaines de millions d’utilisateurs qui en dépendent au quotidien. -journées de réunions.
« Ce que nous avons ici est une entreprise qui est relativement facile à utiliser pour les masses (avec ses défis sur les identifiants de réunion personnels) et qui est relativement sécurisée », a déclaré Kennedy. a écrit. « Pourtant, l’industrie prétend que c’est ‘ceci est un logiciel malveillant’ et vous ne pouvez pas l’utiliser. C’est extrême. Nous devons examiner le risque que posent les applications spécifiques et aider à exprimer un message sur la façon dont les gens peuvent tirer parti de la technologie et être en sécurité. Laisser tomber les zero-days dans les médias nuit à notre crédibilité, rend la peur sensationnelle et blesse les autres.
« S’il existe des moyens pour une entreprise de s’améliorer, nous devons les en informer et s’ils ne résolvent pas leurs problèmes, nous devons les appeler », a-t-il poursuivi. « Nous ne devrions pas faire peur à tout le monde et utiliser les médias comme méthode pour créer cette peur. »
Le conseil de Zoom sur la sécurisation des réunions est ici. Lo de SecKC a déclaré que les organisations utilisant Zoom devraient évitez de publier les liens de la réunion Zoom sur les réseaux sociauxet exigez toujours un mot de passe de réunion lorsque cela est possible.
« Cela devrait être activé par défaut en tant que nouveau client ou utilisateur d’essai », a-t-il déclaré. « Les organisations héritées devront vérifier leurs paramètres d’administration pour s’assurer que cela est activé. Vous pouvez également activer « Intégrer le mot de passe dans le lien de la réunion pour rejoindre en un clic ». Cela empêche un acteur d’accéder à votre réunion sans perdre la convivialité de partager un lien pour se joindre.
De plus, les utilisateurs de Zoom peuvent désactiver « Autoriser les participants à rejoindre la réunion avant l’arrivée de l’hôte ».
« Si vous devez activer cette fonctionnalité, activez au moins » avertir l’hôte lorsque les participants rejoignent la réunion avant eux « , a conseillé Lo. « Cela vous avertira que quelqu’un pourrait utiliser votre réunion à votre insu. Si vous devez garder votre réunion non protégée, vous devez activer « Masquer le numéro de téléphone dans la liste des participants ». L’utilisation de la fonction de liste d’attente empêchera les participants indésirables d’accéder à votre réunion, mais elle exposera toujours les détails de votre réunion si elle est utilisée sans mot de passe.
Certains des paramètres de sécurité disponibles pour les utilisateurs de Zoom. Ceux-ci et d’autres peuvent être trouvés sur https://www.zoom.us/profile/settings/