Auteur : Khanh Nguyen Yen, Ingénieur Software II, OPSWAT
Contexte
De nombreuses organisations et personnes créent leurs propres schémas de chiffrement. Si l'utilisation d'un schéma personnalisé présente des avantages en termes de sécurité, les inconvénients sont amplifiés lorsque le logiciel qui l'utilise compte un grand nombre d'utilisateurs. Zoom est une entreprise qui utilise son propre système de cryptage et qui a découvert une grave faille de sécurité liée à ce système. Cette faille a entraîné la fuite des informations de plus de 500 000 utilisateurs de Zoom Meeting.
En raison de la pandémie de COVID-19, les gouvernements ont mis en œuvre des ordres de mise à l'abri, ce qui a conduit les employés à travailler à domicile. Pour travailler efficacement, ils doivent rester connectés et communiquer en toute sécurité. Zoom est un outil que de nombreuses personnes, dans le monde entier, utilisent pour les y aider. En fait, de nombreuses entreprises l'utilisent comme principal moyen de communication, ce qui fait de cette vulnérabilité un problème sérieux.
Pourquoi cela s'est-il produit ?
Dans un billet de blog de Zoom datant d'avril, Zoom explique qu'elle ne met pas actuellement en œuvre un véritable cryptage de bout en bout, bien qu'elle ait appelé son cryptage "de bout en bout". Elle a utilisé ce terme pour décrire un type de cryptage de transport entre les appareils et les séparateurs Zoom. Par conséquent, en théorie, Zoom a la capacité de décrypter et de surveiller les informations de Zoom Meeting, une fois que ces informations se trouvent sur le serveur.
Où se trouve la vulnérabilité ?
Les données vidéo et audio des réunions Zoom sont distribuées à tous les participants via un serveur Zoom (le nuage de Zoom). Lorsque les clients choisissent d'héberger la réunion sur site, Zoom génère et a accès à la clé AES qui crypte la réunion. Les organisateurs de réunions peuvent configurer leurs réunions pour qu'elles aient des salles d'attente virtuelles, ce qui empêche les participants d'accéder directement à une réunion Zoom. Au lieu de cela, les participants doivent attendre d'être autorisés à entrer par l'hôte de la réunion. (Selon les chercheurs de The Citizen Lab). Cependant, chaque personne présente dans la salle d'attente a accès à la clé de décryptage de la réunion. Ainsi, un acteur malveillant n'a pas besoin de rejoindre la réunion pour accéder au flux vidéo et audio de la réunion.
Un autre problème de sécurité critique concernant le cryptage de Zoom a été signalé. Selon des documents publiés précédemment, l'application Zoom utilise l'algorithme AES-256 pour crypter le contenu des réunions. Or, l'application Zoom utilise en réalité une seule clé de chiffrement de 128 bits.
Enfin, Zoom crypte et décrypte tous les fichiers audio et vidéo pendant les réunions en utilisant AES en mode ECB. Le chiffrement ECB n'est pas recommandé car il n'est pas sémantiquement sûr, ce qui signifie que le simple fait d'observer le texte chiffré chiffré ECB peut révéler des informations sur le texte en clair. Le mode ECB est utilisé dans le même bloc (8 ou 16 octets) de chiffrement du texte en clair qui produit toujours le même bloc de texte chiffré. Cela peut permettre à un attaquant de détecter que les messages chiffrés en mode ECB sont identiques ou contiennent des données répétitives, partagent un préfixe commun ou d'autres sous-chaînes communes.
Pour plus de détails, il existe une belle démonstration graphique de cette faiblesse sur Wikipedia
Cette vulnérabilité de chiffrement a été signalée sous le nom de CVE-2020-11500.
De plus amples informations sur cette vulnérabilité sont disponibles à l'adresse suivante : https://metadefender.opswat.com/vulnerabilities/CVE-2020-11500
Effets potentiels
Il sera plus facile pour les pirates de décrypter le contenu des réunions et de violer la vie privée des utilisateurs.
Comment OPSWAT détecte-t-il la vulnérabilité de Zoom ?
OPSWAT peuvent surveiller tous les points de terminaison de l'organisation qui présentent cette vulnérabilité.
MetaDefender Access peut détecter les appareils présentant la vulnérabilité Zoom CVE-2020-11500 et fournir des instructions de remédiation.
Remédiation
Il est fortement recommandé de toujours maintenir Zoom à jour.
Références
https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/
https://zoom.us/docs/doc/Zoom-Security-White-Paper.pdf
https://en.wikipedia.org/wiki/Block_cipher_mode_of_operation#Electronic_Codebook_(ECB)
https://citizenlab.ca/2020/04/zooms-waiting-room-vulnerability/
