Ouvrir le menu principal

MacGeneration

Recherche

Zoom retire son serveur web local, mais il n'était pas le seul

Nicolas Furno

mercredi 10 juillet 2019 à 08:06 • 19

Logiciels

Face à la polémique (lire : Le client macOS de Zoom peut activer la webcam de votre Mac sans votre accord), le service de visioconférence professionnelle Zoom a finalement cédé. Une mise à jour diffusée dans la nuit désactive totalement le serveur web en local installé sur macOS, celui-là même qui permettait de lancer une réunion de visioconférence sans aucune interaction de la part de l’utilisateur. Ce serveur local, encore, qui n’était pas supprimé quand l’app était désinstallée, qui fonctionnait en arrière-plan et qui réinstallait Zoom à chaque fois que l’utilisateur cliquait sur le lien d’une réunion.

L’iSight, webcam d’Apple commercialisée dans les années 2000. (Photo Quattro Vageena (CC BY-NC-ND 2.0))

Si vous aviez installé Zoom et que vous n’aviez pas supprimé le serveur en suivant les instructions données hier, vous pouvez ouvrir l’app et la mettre à jour. La nouvelle version se chargera de faire le ménage et de supprimer ce serveur local. L’entreprise a aussi ajouté un bouton pour désinstaller Zoom qui enlèvera toutes ses ressources, sans exception. Jusque-là, des éléments devaient être manuellement supprimés pour se débarrasser totalement de l’app.

Tout est bien qui finit bien pour Zoom, mais la polémique révèle que cette app était loin d’être une exception. Cette pratique qui consiste à installer un serveur local pour contourner des limites imposées par le navigateur est en fait assez courante, comme le rappelle un autre chercheur en sécurité. Kevin Beaumont liste sur Twitter d’autres apps de visioconférence qui ont utilisé la même astuce. Il cite notamment RingCentral, qui est en fait identique à Zoom sur le plan technique, et BlueJeans.

La technique dépasse même le cadre de la visioconférence. Depuis que les navigateurs ont abandonné NPAPI, une API créée dans les années 1990 pour permettre à un navigateur de charger un module tiers pour lire un contenu, plusieurs services et apps ont opté pour un serveur web local. On ne connaît probablement pas tous ceux qui l’ont fait, mais cette liste de trois noms donne une idée de l’étendue du problème. Un client Torrent, un antivirus ou même Logitech utilisent cette technique.

En soi, faire tourner un serveur local sur un Mac n’est pas un problème. Le souci, c’est que ces apps utilisent ce serveur pour contourner les mesures de sécurité légitimes des navigateurs. Pour faire simple, cela leur permet de demander au navigateur d’ouvrir une URL standard, comme s’il s’agissait d’un site web, plutôt que de lui demander d’ouvrir une app. Le navigateur n’y voit que du feu, mais c’est une faille de sécurité potentielle, une app installée sur un Mac ayant un pouvoir de nuisance bien supérieur à un site.

Face à cette mauvaise publicité, on peut imaginer que Google, Apple ou encore Mozilla vont réagir en ajoutant des restrictions supplémentaires dans leurs navigateurs respectifs. En attendant, il n’y a pas grand-chose que l’on peut faire contre cette pratique.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Phishing Disney+ & co : stop aux arnaques, protégez vos données 📍

10:47


Sortie de veille : WWDC 2025, l’édition de tous les risques ?

08:00

• 14


Pourquoi la France est-elle privée d’AI Overviews par Google ?

28/03/2025 à 21:15

• 28


Quand la reconnaissance faciale vous interdit l’entrée d’un concert pour un post sur les réseaux sociaux

28/03/2025 à 20:30

• 63


Apple, Meta : l’Union Européenne aurait prévu des amendes modestes pour limiter les tensions avec Donald Trump

28/03/2025 à 18:45

• 70


Faites le grand ménage de printemps sur votre Mac avec Mac Washing Machine X9 ! 📍

28/03/2025 à 18:10


Le Mac Studio 2025 est compatible avec le HDMI CEC

28/03/2025 à 17:17

• 8


macOS Sequoia empêche l'installation d'une ancienne version de macOS en externe

28/03/2025 à 12:45

• 25


iBoff a développé sa copie du SSD de Mac mini M4, vendue à un prix plus faible qu'Apple

28/03/2025 à 11:15

• 28


GPT-4o : OpenAI peine à suivre la demande pour son nouveau générateur d’images

28/03/2025 à 09:58

• 35


Final Cut Pro se met aussi à la page Image Playgrounds sur le Mac

28/03/2025 à 07:57

• 10


Test du BenQ MA270U : un écran 4K pensé pour le Mac

27/03/2025 à 23:30

• 16


Xhamster et Tukif toujours disponibles en France, protégés du gourdin français par la législation européenne

27/03/2025 à 21:45

• 59


Waymo : l’humain responsable dans quasi tous les cas d’accident avec une voiture autonome de la marque

27/03/2025 à 21:00

• 42


Une RC2 pour macOS 15.4 avec Apple Intelligence et les catégories dans Mail 🆕

27/03/2025 à 19:29

• 23


WhatsApp peut remplacer Téléphone et Messages dans iOS 18

27/03/2025 à 17:53

• 112