La plateforme de vidéo-conférence Zoom, basée à San Jose et accessible sur le Cloud en mode SaaS, permet aux entreprises, aux écoles et à tous ceux qui ont besoin d’échanger par vidéo de disposer d’une solution rapide, efficace et relativement peu onéreuse pour se voir, s’entendre et collaborer à distance.

Des facilités qui, avant l’intervention des équipes de Check Point, étaient également ouvertes à d’éventuels actes malveillants tant les modalités de participation à une session d’échange étaient peu sécurisées.

Les spécialistes ont découvert, entre autres problèmes, que les identifiants de sessions vidéo étaient relativement faciles à retrouver et que la fourniture d’un mot de passe par les participants n’était pas systématiquement exigée.

Contacté par le spécialiste de la sécurité Check Point, Zoom Vidéo a reçu un certain nombre de recommandations : réimplantation de l’algorithme de génération des identifiants pour qu’ils soient beaucoup plus difficiles à générer aléatoirement, ajout de fonctions cryptographiques fortes, complexification des identifiants de session, systématisation du mot de passe pour accéder au service … Autant de conseils qui ont été reçus et appliqués par Zoom Video.

Des précisions sur les méthodes d’attaques (préalablement) possibles et des exemples de script en python sont disponibles dans un billet sur le blog de Check Point.