{"id":39869,"date":"2022-08-15T12:11:43","date_gmt":"2022-08-15T12:11:43","guid":{"rendered":"http:\/\/www.tunimedia.tn\/fr\/un-chercheur-en-securite-decouvre-plusieurs-failles-dans-le-processus-de-mise-a-jour-automatique\/"},"modified":"2022-08-15T12:11:43","modified_gmt":"2022-08-15T12:11:43","slug":"un-chercheur-en-securite-decouvre-plusieurs-failles-dans-le-processus-de-mise-a-jour-automatique","status":"publish","type":"post","link":"https:\/\/tunimedia.tn\/fr\/un-chercheur-en-securite-decouvre-plusieurs-failles-dans-le-processus-de-mise-a-jour-automatique\/","title":{"rendered":"un chercheur en s\u00e9curit\u00e9 d\u00e9couvre plusieurs failles dans le processus de mise \u00e0 jour automatique"},"content":{"rendered":"<p> [ad_1]\n<\/p>\n<div>\n<p class=\"chapo\">Plusieurs failles de s\u00e9curit\u00e9 d\u00e9couverte dans Zoom. Via le processus de mise \u00e0 jour automatique, des hackers peuvent r\u00e9cup\u00e9rer le contr\u00f4le de la machine de la victime.<\/p>\n<p>L\u2019option de mise \u00e0 jour automatique de <strong>Zoom<\/strong> aide les utilisateurs \u00e0 s\u2019assurer qu\u2019ils disposent toujours de la derni\u00e8re version en date du logiciel de vid\u00e9oconf\u00e9rence, lequel a souffert d\u2019un certain nombre de soucis de confidentialit\u00e9 et de s\u00e9curit\u00e9 ces derni\u00e8res ann\u00e9es. Un sp\u00e9cialiste de la s\u00e9curit\u00e9 sur Mac a d\u00e9couvert <a target=\"_blank\" href=\"https:\/\/www.engadget.com\/zooms-automatic-updates-flaws-153028919.html\" rel=\"noopener\">plusieurs failles dans l\u2019outil de mise \u00e0 jour automatique<\/a> qui aurait permis \u00e0 des personnes malintentionn\u00e9es d\u2019obtenir le contr\u00f4le total de la machine de leur victime.<\/p>\n<h2 id=\"Plusieurs-failles-de-securite-decouverte-dans-Zoom\" class=\"adn_sommaire\">Plusieurs failles de s\u00e9curit\u00e9 d\u00e9couverte dans Zoom<\/h2>\n<p>Patrick Wardle a pr\u00e9sent\u00e9 ses d\u00e9couvertes durant la conf\u00e9rence DefCon de cette ann\u00e9e. Selon Wired, deux d\u2019entre elles ont \u00e9t\u00e9 d\u00e9voil\u00e9es. La premi\u00e8re a \u00e9t\u00e9 trouv\u00e9e dans le processus de v\u00e9rification de la signature de l\u2019app, qui permet de s\u2019assurer de l\u2019int\u00e9grit\u00e9 de la mise \u00e0 jour \u00e0 installer pour s\u2019assurer que cette derni\u00e8re est totalement l\u00e9gitime. Cela permet d\u2019\u00e9viter qu\u2019un attaquant vienne faire croire \u00e0 l\u2019installeur qu\u2019il peut installer n\u2019importe quoi.<\/p>\n<h2 id=\"Via-le-processus-de-mise-a-jour-automatique\" class=\"adn_sommaire\">Via le processus de mise \u00e0 jour automatique<\/h2>\n<p>Patrick Wardle a d\u00e9couvert que des hackers pouvaient contourner la v\u00e9rification de signature en nommant d\u2019une certaine mani\u00e8re leurs fichiers. Une fois \u00e0 l\u2019int\u00e9rieur, ils peuvent obtenir l\u2019acc\u00e8s root et contr\u00f4ler la machine de leur victime. The Verge explique que le chercheur a communiqu\u00e9 l\u2019existence de cette faille \u00e0 Zoom en d\u00e9cembre 2021, mais le correctif contenait une autre faille. La seconde vuln\u00e9rabilit\u00e9 aurait pu donner aux hackers un moyen de contourner le garde-fou mis en place par Zoom pour s\u2019assurer que le processus de mise \u00e0 jour vient bien installer la derni\u00e8re version en date de l\u2019app. Patrick Wardle a d\u00e9couvert qu\u2019il \u00e9tait possible de duper un outil facilitant la distribution de la mise \u00e0 jour de Zoom pour lui faire accepter une version plus ancienne du logiciel.<\/p>\n<h2 id=\"des-hackers-peuvent-recuperer-le-controle-de-la-machine-de-la-victime\" class=\"adn_sommaire\">des hackers peuvent r\u00e9cup\u00e9rer le contr\u00f4le de la machine de la victime<\/h2>\n<p>Zoom a d\u00e9j\u00e0 corrig\u00e9 cette faille aussi, mais l\u2019expert a trouv\u00e9 une autre vuln\u00e9rabilit\u00e9, pr\u00e9sent\u00e9e, elle aussi, durant la conf\u00e9rence. \u00c0 un moment donn\u00e9, entre la v\u00e9rification du package par l\u2019auto-installeur et le processus d\u2019installation en lui-m\u00eame, il est possible d\u2019<a target=\"_blank\" href=\"https:\/\/www.begeek.fr\/meta-et-instagram-peuvent-vous-traquer-grace-a-leur-navigateur-integre-372020\" rel=\"noopener\">injecter du code<\/a> malveillant dans la mise \u00e0 jour. Un package t\u00e9l\u00e9charg\u00e9 qui doit \u00eatre install\u00e9 peut apparemment retenir ses permissions de lecture\/\u00e9criture originales, permettant \u00e0 quiconque de les modifier. Cela signifie que m\u00eame des utilisateurs sans acc\u00e8s root peuvent \u00e9changer le contenu avec du code malveillant et prendre le contr\u00f4le de la machine cible.<\/p>\n<p>L\u2019entreprise a d\u00e9clar\u00e9 \u00e0 The Verge qu\u2019elle travaillait sur un correctif pour cette nouvelle vuln\u00e9rabilit\u00e9 mise au jour par l\u2019expert. Comme Wired le pr\u00e9cise, les attaquants doivent d\u00e9j\u00e0 disposer d\u2019un acc\u00e8s \u00e0 la machine de l\u2019utilisateur pour pouvoir exploiter ces failles. M\u00eame s\u2019il n\u2019y a pas de danger imm\u00e9diat pour la majorit\u00e9 des utilisateurs, Zoom recommande de toujours \u201crester \u00e0 jour avec la derni\u00e8re version en date\u201d de l\u2019app. Cela permet notamment de profiter du <a target=\"_blank\" href=\"https:\/\/www.begeek.fr\/zoom-introduit-son-chiffrement-de-bout-en-bout-sur-son-service-de-telephonie-dans-le-cloud-371253\" rel=\"noopener\">chiffrement de bout en bout<\/a>.<\/p>\n<\/div>\n[ad_2]\n<br \/><a href=\"https:\/\/www.begeek.fr\/zoom-un-chercheur-en-securite-decouvre-plusieurs-failles-dans-le-processus-de-mise-a-jour-automatique-372048?utm_source=feed&#038;utm_campaign=general\">Source link <\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[ad_1] Plusieurs failles de s\u00e9curit\u00e9 d\u00e9couverte dans Zoom. Via le processus de mise \u00e0 jour automatique, des hackers peuvent r\u00e9cup\u00e9rer le contr\u00f4le de la machine de la victime. L\u2019option de mise \u00e0 jour automatique de Zoom aide les utilisateurs \u00e0 s\u2019assurer qu\u2019ils disposent toujours de la derni\u00e8re version en date du logiciel de vid\u00e9oconf\u00e9rence, lequel &hellip;<\/p>\n","protected":false},"author":1,"featured_media":38229,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[16,335,19,349,239],"tags":[],"class_list":["post-39869","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-high-tech","category-tie-games","category-mode","category-tech-net","category-web"],"jetpack_featured_media_url":"https:\/\/tunimedia.tn\/fr\/wp-content\/uploads\/2022\/07\/Zoom-scaled.jpg","jetpack_sharing_enabled":true,"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/tunimedia.tn\/fr\/wp-json\/wp\/v2\/posts\/39869","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/tunimedia.tn\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/tunimedia.tn\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/tunimedia.tn\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/tunimedia.tn\/fr\/wp-json\/wp\/v2\/comments?post=39869"}],"version-history":[{"count":0,"href":"https:\/\/tunimedia.tn\/fr\/wp-json\/wp\/v2\/posts\/39869\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/tunimedia.tn\/fr\/wp-json\/wp\/v2\/media\/38229"}],"wp:attachment":[{"href":"https:\/\/tunimedia.tn\/fr\/wp-json\/wp\/v2\/media?parent=39869"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/tunimedia.tn\/fr\/wp-json\/wp\/v2\/categories?post=39869"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/tunimedia.tn\/fr\/wp-json\/wp\/v2\/tags?post=39869"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}