Zoom, un logiciel qui permet de faire des visioconférences et qui est particulièrement utilisé dans les entreprises, est mis sous le feu des projecteurs, et ce n’est pas une bonne raison. Une importante faille a été découverte dans son client Mac qui permet à des sites d’activer la caméra de votre ordinateur sans votre accord.

Le problème vient du fonctionnement de Zoom qui installe un serveur Web sur chaque Mac où il est installé. Ce serveur, qui travaille en tâche de fond, accepte certaines requêtes que les navigateurs traditionnels refusent. Pire : le serveur reste sur le Mac, même si on désinstalle Zoom.

Il suffit de cliquer sur un simple lien pour rejoindre une visioconférence avec la caméra qui s’active automatiquement. Évidemment, un site peut faire le nécessaire pour éviter que l’internaute remarque que le lien sur lequel il s’apprête à cliquer concerne Zoom.

Jonathan Leitschuh, le chercheur en sécurité qui a découvert cette faille, explique qu’il a alerté Zoom fin mars sur le sujet. Zoom a partiellement corrigé le tir depuis, mais il est encore possible d’exploiter la faille. Deux étapes sont requises pour complètement bloquer l’accès : se rendre dans les options de Zoom et désactiver l’option qui active la caméra quand on rejoint un appel vidéo (voir l’image ci-dessus). Pour supprimer complètement le serveur Web, il faut entrer des commandes dans Terminal : lsof -i :19421 pour obtenir le numéro du processus, puis faire kill -9 [numéro du processus]. Enfin, il faut entrer rm -rf ~/.zoomus et touch ~/.zoomus pour empêcher le serveur d’être restauré.