Zoom est sous le feu des projecteurs en ce moment avec sa popularité qui ne cesse de grimper. Ce service de vidéoconférence gagne de plus en plus d’utilisateurs avec le confinement, mais il se trouve que sa sécurité est loin d’être exemplaire.

Pour commencer, le service dit que les réunions entre utilisateurs sont chiffrées de bout de bout, alors que ce n’est pas le cas en réalité. Il y a ensuite une faille qui a été découverte sur Windows qui permet de récupérer les identifiants des utilisateurs. Voilà maintenant que deux failles ont été repérées au niveau de l’application Mac. Elles ont été découvertes par Patrick Wardle, un ancien hacker de la NSA.

Un hacker qui exploite les failles peut obtenir et maintenir un accès permanent à l’ordinateur d’une victime, lui permettant d’installer des logiciels malveillants ou des logiciels espions.

La première faille est en rapport avec l’installateur de Zoom sur Mac. Il se trouve que Zoom « triche » et installe son application dès que l’utilisateur ouvre le fichier PKG téléchargé, alors qu’il est censé donner son accord pour réellement faire l’installation. Un hacker peut injecter du code malveillant dans l’installateur pour obtenir les droits root et avoir un accès total du Mac.

La seconde faille est liée à la façon dont Zoom gère la webcam et le microphone sur les Mac. Zoom nécessite d’abord le consentement de l’utilisateur. Mais il se trouve qu’un hacker peut injecter un code malveillant dans Zoom et obtenir le même accès à la webcam et au microphone que celui dont dispose déjà Zoom.

Contacté par TechCrunch, Zoom a refusé de faire un commentaire sur cette affaire. On rappellera qu’il y a déjà eu un problème avec Zoom sur Mac l’année dernière, à tel point qu’Apple avait dû déployer un correctif pour bloquer le serveur utilisé par le service.