De nombreuses organisations – y compris un certain nombre d’entreprises Fortune 500 – ont exposé des liens Web permettant à quiconque de lancer une enquête. Zoom réunion par vidéoconférence en tant qu’employé valide. Ces liens Zoom spécifiques à l’entreprise, qui incluent un numéro d’identification d’utilisateur permanent et un mot de passe intégré, peuvent fonctionner indéfiniment et exposer les employés, clients ou partenaires d’une organisation au phishing et à d’autres attaques d’ingénierie sociale.
Image : @Pressmaster sur Shutterstock.
L’enjeu est le ID de réunion personnel Zoom (PMI), qui est un numéro d’identification permanent lié à votre compte Zoom et qui vous sert de salle de réunion personnelle disponible 24 heures sur 24. La partie PMI fait partie de chaque nouvelle URL de réunion créée par ce compte, par exemple :
zoom.us/j/5551112222
Zoom propose une option permettant d’inclure un code d’accès crypté dans un lien d’invitation à une réunion, ce qui simplifie le processus pour les participants en éliminant le besoin de saisir manuellement le code d’accès. En suivant l’exemple précédent, un tel lien pourrait ressembler à ceci :
zoom.us/j/5551112222/pwd=jdjsklskldklsdksdklsdkll
Utiliser votre PMI pour organiser de nouvelles réunions est pratique, mais bien sûr, la commodité se fait souvent au détriment de la sécurité. Étant donné que le PMI reste le même pour toutes les réunions, toute personne disposant de votre lien PMI peut rejoindre n’importe quelle réunion en cours, sauf si vous avez verrouillé la réunion ou activé la fonction Salle d’attente de Zoom.
L’inclusion d’un mot de passe crypté dans le lien Zoom facilite certainement la participation des participants, mais cela pourrait ouvrir vos réunions à des intrus indésirables s’il n’est pas géré de manière responsable. Surtout si ce lien Zoom est indexé d’une manière ou d’une autre par Google ou un autre moteur de recherche, ce qui se trouve être le cas de milliers d’organisations.
Armé de l’un de ces liens, un attaquant peut créer des réunions et inviter d’autres personnes en utilisant l’identité de l’employé autorisé. Et de nombreuses entreprises utilisant Zoom ont facilité la recherche de liens de réunion récemment créés qui incluent des codes d’accès cryptés, car elles disposent de sous-domaines dédiés sur Zoom.us.
En utilisant la même méthode, KrebsOnSecurity a également trouvé des liens de réunion Zoom fonctionnels pour La Ligue Nationale de Football (NFL), LinkedIn, Oracle, Humain, Disney, Warner Broset Uber. Et c’était après seulement quelques minutes de recherche. Et pour illustrer la persistance de certains de ces liens Zoom, Archive.org indique que plusieurs de ces liens ont été créés pour la première fois dès 2020 et 2021.
KrebsOnSecurity a reçu une astuce concernant les expositions Zoom de Charan Akiri, chercheur et ingénieur en sécurité chez Reddit. En avril 2023, ce site présentait des recherches menées par Akiri montrant que de nombreux sites Web publics Salesforce divulguaient des données privéesy compris les banques et les organismes de santé (Akiri a déclaré que Salesforce disposait également de ces liens de réunion Zoom ouverts avant de les notifier).
Les liens Zoom qui exposaient les salles de réunion en activité avaient tous activé l’option en surbrillance.
Akiri a déclaré que l’utilisation abusive des liens PMI, en particulier ceux contenant des codes d’accès intégrés, peut permettre à des personnes non autorisées d’accéder aux réunions.
« Ces liens en un clic, qui ne sont pas soumis à une expiration ou à une exigence de mot de passe, peuvent être exploités par des attaquants à des fins d’usurpation d’identité », a déclaré Akiri. « Les attaquants exploitant ces vulnérabilités peuvent se faire passer pour des entreprises et organiser des réunions à l’insu des utilisateurs. Ils peuvent contacter d’autres employés ou clients tout en se faisant passer pour l’entreprise, obtenant ainsi un accès non autorisé à des informations confidentielles, potentiellement à des fins de gain financier, de recrutement ou de campagnes publicitaires frauduleuses.
Akiri a déclaré qu’il avait construit un programme simple pour explorer le Web à la recherche de liens de réunion Zoom de différentes organisations, et jusqu’à présent, il a identifié des milliers d’organisations avec ces liens Zoom zombie parfaitement fonctionnels.
Selon Akiri, voici plusieurs conseils pour utiliser les liens Zoom de manière plus sûre :
N’utilisez pas d’identifiant de réunion personnel pour les réunions publiques : Votre ID de réunion personnel (PMI) est la réunion par défaut qui se lance lorsque vous démarrez une réunion ad hoc. Votre PMI ne change pas sauf si vous le modifiez vous-même, ce qui le rend très utile si les gens ont besoin d’un moyen de vous joindre. Mais pour les réunions publiques, vous devez toujours planifier de nouvelles réunions avec des ID de réunion générés aléatoirement. De cette façon, seuls les participants invités sauront comment rejoindre votre réunion. Vous pouvez également désactiver votre PMI lorsque vous démarrez une réunion instantanée dans les paramètres de votre profil.
Exiger un mot de passe pour rejoindre : Vous pouvez aller encore plus loin en matière de sécurité des réunions en exigeant un mot de passe pour rejoindre vos réunions. Cette fonctionnalité peut être appliquée à la fois à votre identifiant de réunion personnel, de sorte que seules les personnes disposant du mot de passe pourront vous joindre, ainsi qu’aux réunions nouvellement programmées. Pour découvrir toutes les façons d’ajouter un mot de passe pour vos réunions, voir cet article d’assistance.
Autoriser uniquement les utilisateurs enregistrés ou de domaine vérifié : Zoom peut également vous apporter une tranquillité d’esprit en vous permettant de savoir exactement qui assistera à votre réunion. Lorsque vous planifiez une réunion, vous pouvez exiger que les participants s’inscrivent avec leur e-mail, leur nom et leurs questions personnalisées. Vous pouvez même personnaliser votre page d’inscription avec une bannière et un logo. Par défaut, Zoom restreint également les participants à ceux qui sont connectés à Zoom, et vous pouvez même le restreindre aux utilisateurs de Zoom dont l’adresse e-mail utilise un certain domaine.
Lectures complémentaires : Comment garder les invités non invités hors de votre réunion Zoom
Mise à jour à 12h33 : La liste des organisations concernées a été mise à jour, car plusieurs entreprises n’ont apparemment répertorié que des liens exposés permettant à quiconque de se connecter à des salles de réunion existantes et toujours actives, sans lancer ni contrôler complètement une réunion Zoom. Le véritable danger avec les liens zombies décrits ci-dessus est que n’importe qui peut les trouver et les utiliser pour créer de nouvelles réunions et en inviter d’autres.
