Marche arrière toute. Après qu’un chercheur ait publiquement dévoilé deux vulnérabilités du service de vidéoconférence, Zoom avait réagi en prenant le sujet à la légère. Mais face aux réactions peu enjouées, l’éditeur a changé son fusil d’épaule et a patché en urgence.
Chipoter sur la sévérité d’une faille et plaider le confort de l’utilisateur pour ne pas avoir à la corriger, en voilà une idée qu’elle est mauvaise ! Zoom en a fait l’amère expérience ces derniers jours, après qu’un chercheur ait dévoilé un duo de vulnérabilités de l’outil sur Mac, l’une permettant de forcer un internaute à rejoindre une conférence, l’autre à activer par défaut sa caméra. Le chercheur ne mâchait pas ses mots à l’encontre de l’entreprise, à qui il reprochait un certain laxisme dans la prise en compte de sa découverte.
Et Zoom a réagi une première fois, fustigeant pour sa part le chercheur qui refusait de participer à son programme de bug bounty par désaccord quant aux clauses de non-divulgation et surtout justifiait de laisser ces failles ouvertes au nom de l’expérience utilisateur. Ben oui, c’est plus simple d’avoir un web server en local host qui décide tout seul que d’avoir à accepter de rejoindre une conversation… Sur les forums spécialisés et les réseaux sociaux, les amateurs s’en sont donnés à cœur joie et nombreux ont été ceux à tester le PoC mis en ligne par le chercheur. Avec toujours cette conclusion : « flippant ».
Ni une ni deux, Zoom fait amende honorable. « Lors de nos échanges avec ce chercheur au cours des 90 derniers jours, nous avons mal évalué la situation et n’avons pas répondu rapidement - et c’est notre faute. Nous en prenons pleinement la responsabilité et nous avons beaucoup appris » écrit Eric S. Yuan, fondateur et CEO de Zoom, dans une nouvelle publication.
Gestion de crise
Dès le 9 juillet, Zoom a mis à jour son application pour MacOS supprimant le serveur Web local controversé et introduisant une nouvelle option permettant aux utilisateurs de désinstaller manuellement le client Zoom, y compris ledit serveur Web local. Et pour le 13 juillet, une nouvelle update est prévue, celle-ci sauvegardant automatiquement les réglages de caméra des utilisateurs, impliquant que si ceux-ci choisissent « Toujours désactiver ma vidéo », la vidéo sera effectivement désactivée dans toutes les futures réunions.
Mais un problème subsiste. Pour les utilisateurs ayant auparavant désinstallé le client Zoom, le serveur Web local reste installé sur leur Mac, la mise à jour ne pouvant leur être distribuée. C’est là qu’Apple entre en scène. Hier, la marque à la pomme a poussé un correctif « pour s’assurer que le serveur Web Zoom est supprimé de tous les Mac, même si l'utilisateur n'a pas mis à jour son application Zoom ou l'a supprimée avant la publication de notre correctif du 9 juillet ».