Ouvrir le menu principal

MacGeneration

Recherche

Le client macOS de Zoom peut activer la webcam de votre Mac sans votre accord

Nicolas Furno

mardi 09 juillet 2019 à 10:03 • 63

Logiciels

Zoom est l’une des solutions de visioconférence les plus populaires, surtout dans le monde de l’entreprise. Comme Skype ou Hangout, cette app permet de créer des réunions virtuelles que les participants peuvent rejoindre avec leur ordinateur et une webcam. Le chercheur en sécurité Jonathan Leitschuh a découvert plusieurs failles de sécurité dans l’app macOS du service, dont la plus importante permet à un site web d’activer la webcam d’un Mac sans aucune interaction de la part de l’utilisateur.

Photo Kazuho Okui (CC BY 2.0)

Cette faille de sécurité n’est pas corrigée, mais précisons d’emblée qu’elle ne concerne que les utilisateurs de Zoom et plus précisément ceux qui ont installé le client macOS sur leur Mac. Si ce n’est pas votre cas, cette faille de sécurité ne vous touche pas et vous pouvez dormir tranquille. Dans le cas contraire, vous trouverez des explications à la fin de l’article pour bloquer cette vulnérabilité.

Pour faire simple, ce chercheur a découvert que Zoom contournait plusieurs limites de sécurité imposées par macOS ou les navigateurs afin de conserver l’un de ses points forts. Le service met en avant qu’il permet d’initier une réunion en visioconférence d’un seul clic, mais par sécurité, le navigateur ou le système d’exploitation demandait une confirmation avant d’activer la webcam. Pour cela, Zoom macOS installe un serveur web local qui se charge de faire le lien entre votre navigateur et l’app.

Ce serveur permet de contourner certaines restrictions et en particulier une de Safari qui affiche une boîte de dialogue à chaque fois qu’un site web désire ouvrir une app. C’est une mesure de sécurité justement pour éviter le comportement d’une app comme Zoom, mais ce dernier a répondu que c’était le comportement désiré et que les utilisateurs pouvaient désactiver l’activation automatique de la webcam dans les préférences de l’app.

C’est vrai, vous pouvez cocher l’option « Turn off my video when joining a meeting » dans les préférences du client macOS de Zoom et vous devrez activer la webcam dans un deuxième temps après avoir rejoint une réunion. Sauf que ce réglage n’est pas actif par défaut, ce qui implique que des millions d’utilisateurs peuvent encore voir leur webcam activée sans leur autorisation, simplement en affichant une page web. Le chercheur montre même qu’une simple publicité affichée sur des milliers de sites web différents pourrait suffire.

Cochez cette option dans les réglages de Zoom pour empêcher l’activation automatique de la webcam sur votre Mac.

Ce serveur local ne se contente pas de faire sauter les verrous de protection mis en place par les navigateurs. En fouillant un petit peu plus, Jonathan Leitschuh a mis en avant un mécanisme de réinstallation automatique de l’app macOS. Supprimer Zoom de son Mac laisse le serveur local en place, actif à l’arrière-plan. Si vous cliquez par la suite sur un lien pour rejoindre une réunion, le serveur local détermine si l’app est bien installée. Le cas échéant, il lance lui-même le téléchargement et la réinstallation de l’app, sans votre consentement.

Pour désinstaller complètement Zoom, il ne suffit pas de jeter l’app à la corbeille, il faut aussi utiliser quelques lignes de commande dans un terminal. Voici la procédure à suivre :

  • Récupérer l’identifiant du serveur. Saisissez la commande lsof -i :19421 pour connaître l’identifiant du serveur local. S’il n’est pas actif, vous ne verrez aucun résultat. Sinon, vous verrez une ligne avec plusieurs informations. Copiez le nombre inscrit sous la mention « PID ».
  • Arrêter le serveur local : saisissez la commande kill -9 dans le terminal, puis un espace et collez l’identifiant récupéré à l’étape précédente.
  • Supprimer le dossier du serveur local : utilisez la commande rm -rf ~/.zoomus pour supprimer le dossier où le serveur local est installé.
  • Empêcher la réinstallation du serveur par Zoom : pour bloquer totalement l’app et l’empêcher de recréer un serveur local, saisissez la commande touch ~/.zoomus qui va créer un fichier vide.

La seule concession que Zoom a accepté de faire suite aux révélations du chercheur en sécurité est de permettre aux administrateurs de modifier le paramètre par défaut. Une prochaine mise à jour permettra ainsi de bloquer le lancement automatique de la webcam pour une entreprise, même si cela devrait rester possible par défaut.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Pour le producteur de La Maison, « Apple est la pire boîte marketing de l’univers »

00:08

• 15


Upscaling vidéo et restauration photo plus rapides sur Mac/PC : VideoProc AI mis à jour est à - 62 % 📍

25/04/2025 à 17:44

• 0


Derniers jours Apple week à la Fnac : -10 % sur des MacBook Pro, iPhone 15 Pro à 16 Pro Max et iPad Pro M4

25/04/2025 à 16:00

• 6


dav1d, le décodeur AV1 le plus optimisé qu'Apple refuse d'utiliser

25/04/2025 à 14:00

• 3


Microsoft a conçu une publicité par IA et personne n’a rien vu

25/04/2025 à 13:45

• 21


Razer lance sa première souris ergonomique verticale face à Logitech

25/04/2025 à 12:15

• 9


Yahoo! veut acheter Chrome

25/04/2025 à 10:45

• 32


Slate veut repartir de zéro avec un pick-up électrique compact et épuré pour moins de 20 000 $

25/04/2025 à 10:00

• 99


iPadOS 19 verrait apparaître une barre de menus sur iPad

25/04/2025 à 09:24

• 47


Huit ans après DeX, Apple s’ouvrirait peu à peu à un bureau sur écran externe pour iOS 19

25/04/2025 à 09:23

• 46


John Giannandrea aurait aussi perdu l'équipe en charge de la robotique chez Apple

25/04/2025 à 07:39

• 10


Les procès antitrust contre les GAFAM se poursuivent aux USA, malgré les changements de présidence

24/04/2025 à 21:30

• 27


Prise en main de Supercharge, l’app à tout faire qui rend bien des services sur le Mac

24/04/2025 à 20:30

• 17


TSMC annonce la gravure en 1.4 nm, quand la Russie espère atteindre les 28 nm en 2030

24/04/2025 à 20:20

• 51


Données personnelles : comment Incogni supprime ce que les autres ne peuvent pas 📍

24/04/2025 à 18:17

• 0


Amazon va fêter ses 25 ans en France avec une semaine de promos du 30 avril au 6 mai

24/04/2025 à 17:30

• 18