Face à la polémique (lire : Le client macOS de Zoom peut activer la webcam de votre Mac sans votre accord), le service de visioconférence professionnelle Zoom a finalement cédé. Une mise à jour diffusée dans la nuit désactive totalement le serveur web en local installé sur macOS, celui-là même qui permettait de lancer une réunion de visioconférence sans aucune interaction de la part de l’utilisateur. Ce serveur local, encore, qui n’était pas supprimé quand l’app était désinstallée, qui fonctionnait en arrière-plan et qui réinstallait Zoom à chaque fois que l’utilisateur cliquait sur le lien d’une réunion.
Si vous aviez installé Zoom et que vous n’aviez pas supprimé le serveur en suivant les instructions données hier, vous pouvez ouvrir l’app et la mettre à jour. La nouvelle version se chargera de faire le ménage et de supprimer ce serveur local. L’entreprise a aussi ajouté un bouton pour désinstaller Zoom qui enlèvera toutes ses ressources, sans exception. Jusque-là, des éléments devaient être manuellement supprimés pour se débarrasser totalement de l’app.
Tout est bien qui finit bien pour Zoom, mais la polémique révèle que cette app était loin d’être une exception. Cette pratique qui consiste à installer un serveur local pour contourner des limites imposées par le navigateur est en fait assez courante, comme le rappelle un autre chercheur en sécurité. Kevin Beaumont liste sur Twitter d’autres apps de visioconférence qui ont utilisé la même astuce. Il cite notamment RingCentral, qui est en fait identique à Zoom sur le plan technique, et BlueJeans.
La technique dépasse même le cadre de la visioconférence. Depuis que les navigateurs ont abandonné NPAPI, une API créée dans les années 1990 pour permettre à un navigateur de charger un module tiers pour lire un contenu, plusieurs services et apps ont opté pour un serveur web local. On ne connaît probablement pas tous ceux qui l’ont fait, mais cette liste de trois noms donne une idée de l’étendue du problème. Un client Torrent, un antivirus ou même Logitech utilisent cette technique.
En soi, faire tourner un serveur local sur un Mac n’est pas un problème. Le souci, c’est que ces apps utilisent ce serveur pour contourner les mesures de sécurité légitimes des navigateurs. Pour faire simple, cela leur permet de demander au navigateur d’ouvrir une URL standard, comme s’il s’agissait d’un site web, plutôt que de lui demander d’ouvrir une app. Le navigateur n’y voit que du feu, mais c’est une faille de sécurité potentielle, une app installée sur un Mac ayant un pouvoir de nuisance bien supérieur à un site.
Face à cette mauvaise publicité, on peut imaginer que Google, Apple ou encore Mozilla vont réagir en ajoutant des restrictions supplémentaires dans leurs navigateurs respectifs. En attendant, il n’y a pas grand-chose que l’on peut faire contre cette pratique.
