[gull] Zoom c'est risque (ex: Tester les projets de Framasoft)

Frederic Dumas f.dumas at ellis.siteparc.fr
Fri Apr 3 12:15:56 CEST 2020 

Les mêmes échos me revenaient qu'à toi, Daniel. Un collègue me disait 
que deux nouvelles failles étaient récemment découvertes sur 
l'implémentation OS.X du client lourd Zoom.


> La première permet à un forban d'obtenir les mêmes droits d'accès au
> micro et à la webcam de Zoom. Le logiciel doit en effet demander la
> permission de l'utilisateur pour accéder à ces composants
> indispensables à son fonctionnement. Cette demande d'autorisation
> présente une faille qui permet à un bandit d'injecter du code
> malicieux, afin de récupérer les droits d'accès. Ce dernier peut
> alors surveiller en douce l'utilisateur.
> 
> La deuxième faille est directement liée au système d'installation du
> logiciel sur macOS, qui va beaucoup trop vite en besogne. Il se
> trouve qu'un malapris est en mesure de glisser du code avec les
> privilèges d'un utilisateur lambda afin d'obtenir un accès root. Il
> peut ainsi accéder aux couches les plus basses et les plus sensibles
> de macOS, ce qui n'est pas sans poser de sérieux problèmes de
> sécurité.
> 
> Zoom n'a pas encore fourni de correctifs.

Source: 
https://www.macg.co/logiciels/2020/04/et-voici-deux-nouvelles-failles-de-securite-pour-zoom-112991



Le 03/04/2020 à 11:44, Isa & Manu Joos a écrit :
 >
 > Qu'entends-tu par "client lourd" ?


C'est une terminologie qu'on emploie parfois par opposition au "client 
léger" sur le navigateur web.

Client lourd: application compilée nativement pour le système 
d'exploitation pour lequel elle a été conçue, et fonctionnant localement 
sur le poste de travail, en en sollicitant les ressources.

Client léger: application web fonctionnant à distance sur le serveur, et 
donc seule l'interface visuelle utilisateur fonctionne localement, dans 
le navigateur web. C'est pour ça que c'est dit être "léger".


A bientôt.


--
Frederic Dumas
f.dumas at ellis.siteparc.fr


Le 03/04/2020 à 11:15, Daniel Cordey a écrit :
> Sauf que en ce qui concerne ce domaine, Zoom est sans doute le pire 
> élève de la classe. Ils ont menti, et continuent à le faire, à leurs 
> clients en ce qui concerne le "End-to-End" encryptage (qui n'est en fait 
> que le cryptage du transport !). Ils ont installé des serveurs web sur 
> les matériels des clients pour leur permettre de se connecter a un 
> meeting sans permissions. Ils ont des fonctionnalités qui permettent de 
> contrôler ce que font les participants durant le meeting. Ils ont vendu 
> des données personnelles à Facebook. Etc.

More information about the gull mailing list