Le service de visioconférence Zoom est pris dans une polémique depuis qu’un chercheur en sécurité a dévoilé ses pratiques douteuses sur macOS. Pour simplifier le fonctionnement de son service et éliminer les demandes de confirmation des navigateurs ou du système, le client Mac de Zoom installait un serveur web local qui fonctionnait en permanence à l’arrière-plan et constituait une faille de sécurité :
Face à l’ampleur prise par la polémique, Zoom a fini par réagir en sortant hier une mise à jour qui désactive totalement ce serveur local. On apprend aujourd’hui qu’Apple avait pris les devants en publiant une mise à jour silencieuse de macOS pour faire la même chose. De fait, tous les utilisateurs de Mac qui ont installé Zoom n’ont plus à s’inquiéter, même s’ils ne mettent jamais à jour leur app.
Outre les mises à jour standard de macOS distribuées via le Mac App Store et qui restent optionnelles (même s’il est parfois difficile de s’en débarrasser), Apple dispose d’un mécanisme de mises à jour automatisé et invisible pour l’utilisateur. Le constructeur s’en sert régulièrement pour bloquer les malwares connus et ainsi limiter leur action. Ce même mécanisme a servi en l’occurrence à désactiver le fonctionnement du serveur local de Zoom. Apple avait prévenu l’entreprise, qui a même travaillé avec la firme de Cupertino pour vérifier que tout fonctionne correctement.
