Zoom : plus de 530 000 comptes en vente sur le Dark Web

Le par Mathieu M.  |  5 commentaire(s)
Zoom

C'est un bad buzz de plus pour la messagerie Zoom : les données de plus de 530 000 comptes sont actuellement en vente sur le dark Web.

La messagerie Zoom qui propose de réaliser des appels en visioconférence à plusieurs connait une popularité fulgurante depuis le confinement lié à l'épidémie de coronavirus. Et pourtant, l'application n'avait pas vraiment anticipé ce succès, notamment sur la sécurisation de ses serveurs.

Zoom

Déjà lourdement critiqué pour partager des données personnelles avec Facebook puis à traiter la sécurité avec légèreté, Zoom a même été banni par le département éducatif de la ville de New-York.

36.49€€ sur Amazon* * Prix initial : 36.49€€.

Des failles qui attirent désormais les hackers qui voient une opportunité de choix... Et le mal semble déjà être fait puisque désormais, on peut trouver des lots de 530 000 comptes d'utilisateur piratés en vente sur le Dark Web.

Les données ainsi vendues proposent les emails, mots de passe ainsi que les URL de réunions personnelles et codes d'administration. Chaque compte est proposé pour un centime d'euro à peine et certains sont même offerts pour les tester, permettant ainsi à des hackers de s'inviter dans des conversations privées.

Selon la société Cyble qui a mis en lumière le lot de comptes en vente, tous les comptes récupérés ne seraient pas forcément en lien avec les failles de l'application. Nombreux sont les comptes qui auraient ainsi été récupérés suite aux mauvaises habitudes de leurs propriétaires.


  • Partager ce contenu :
Complément d'information

Vos commentaires

Trier par : date / pertinence
skynet Hors ligne VIP icone 79041 points
Le #2096911
mmmhhh ça donne envie grave d'essayer ...

Blague à part je me pose quand même une question :
Soit les devs de cette appli l'ont fini à l'urine et laissé passer des failles monstrueuses, soit ce produit performant fait de l'ombre à beaucoup de solutions déjà présentes et ça plaît pas du tout (recherche active de failles chez ce concurrent dangereux).
LinuxUser Hors ligne VIP icone 14744 points
Le #2096930
skynet a écrit :

mmmhhh ça donne envie grave d'essayer ...

Blague à part je me pose quand même une question :
Soit les devs de cette appli l'ont fini à l'urine et laissé passer des failles monstrueuses, soit ce produit performant fait de l'ombre à beaucoup de solutions déjà présentes et ça plaît pas du tout (recherche active de failles chez ce concurrent dangereux).



J'ai un avis plus nuancé (et une 3ème possibilité ).

Je pense que c'est un produit assez récent (donc sans les années de recul que peuvent avoir les concurrents en termes de recherches de failles), qui a explosé d'un coup à cause de la pandémie.
Et bien sur comme les autres, qui a été développé avec un objectif business en vue, mais pas ou moins axé sur la sécurité (plus tôt on livre, plus tôt on gagne des $$$, donc vas y prend telle lib, telle API, on s'en fous d’où ça vient tant que ca fait le taff, ok ce bout de code fonctionne, passe à une autre feature). Sauf que justement les autres ont eu des années pour revoir la sécu une fois que ça tournait et que ça rapportait.
Donc on a un produit jeune (en terme de sécurité si l'on peut dire), qui se retrouve surexposé (et qui par conséquence, attire les pirates de part son potentiel).

Et paf, ca fait des chocapic.
skynet Hors ligne VIP icone 79041 points
Le #2096940
LinuxUser a écrit :

skynet a écrit :

mmmhhh ça donne envie grave d'essayer ...

Blague à part je me pose quand même une question :
Soit les devs de cette appli l'ont fini à l'urine et laissé passer des failles monstrueuses, soit ce produit performant fait de l'ombre à beaucoup de solutions déjà présentes et ça plaît pas du tout (recherche active de failles chez ce concurrent dangereux).



J'ai un avis plus nuancé (et une 3ème possibilité ).

Je pense que c'est un produit assez récent (donc sans les années de recul que peuvent avoir les concurrents en termes de recherches de failles), qui a explosé d'un coup à cause de la pandémie.
Et bien sur comme les autres, qui a été développé avec un objectif business en vue, mais pas ou moins axé sur la sécurité (plus tôt on livre, plus tôt on gagne des $$$, donc vas y prend telle lib, telle API, on s'en fous d’où ça vient tant que ca fait le taff, ok ce bout de code fonctionne, passe à une autre feature). Sauf que justement les autres ont eu des années pour revoir la sécu une fois que ça tournait et que ça rapportait.
Donc on a un produit jeune (en terme de sécurité si l'on peut dire), qui se retrouve surexposé (et qui par conséquence, attire les pirates de part son potentiel).

Et paf, ca fait des chocapic.


Je suis moins nuancé car les failles semblent trop grosses pour être vraies
- Des gens externes peuvent s'incruster dans des conf call sans même être invités et jouer les trouble-fêtes
- Les videos des conf sont pas protégées et déjà piratées
- les comptes des participants en vente sur le darknet

sans compter les trucs enormes comme ça : https://www.francoischarron.com/une-importante-faille-de-securite-sur-zoom-sur-pc-expose-notre-ordinateur/-/xLfwLrlavh/

https://www.nextinpact.com/news/108854-zoom-retour-sur-accumulation-failles.htm

Bref, ça me semble too much pour un service payant utilisé par des millions de personnes dans le monde, y compris de grosses boites.
skynet Hors ligne VIP icone 79041 points
Le #2096965
"On a pas la même "encryption" que les autres" dixit le patron de Zoom France



https://bfmbusiness.bfmtv.com/mediaplayer/video/edition-speciale-zoom-s-excuse-pour-des-failles-0904-1237938.html
LinuxUser Hors ligne VIP icone 14744 points
Le #2097016
skynet a écrit :

"On a pas la même "encryption" que les autres" dixit le patron de Zoom France



https://bfmbusiness.bfmtv.com/mediaplayer/video/edition-speciale-zoom-s-excuse-pour-des-failles-0904-1237938.html


Mine de rien, c'est mieux que cryptage, même si c'est de l'utilisation de mots anglais dans des phrases en français (mais bon ça fait startup c'est cool, pour le téléspectateur lambda ça fait ultra technique).
Le respect de la vie privée est primordial... mouais.. si il l'était vraiment dès le début je vois pas comment ils se seraient retrouvés a partager des infos avec FB... je vois pas comment une fonctionnalité se basant sur le nom de domaine pour trouver ses collègues la ou des milliers de gens ont une adresse de FAI ou gmail/outlook/live/hotmail a pu passer.. rien que ça, ça montre bien que la fonctionnalité passe avant la sécurité, car il sont obligés de maintenir une blacklist des domaines à éviter, ce qui est infaisable en pratique de manière exhaustive....

Après, je reste sur ma supposition, mais je comprend que le mec soit obligé de bullshiter (pour utiliser aussi des mots anglais), il peut pas décemment dire "ouais on a d'abord fait un truc qui marche, mais la c'est bon on a compris on se met a taffer sur la sécu"...

"mais après si quelqu'un vient avec un téléphone portable, c'est du réseau [???], c'est pas encrypté, [...], c'est très technique"
WOW ! ça veut dire quoi ça ? que le chiffrement dépend du réseau utilisé ? la vache...
Bizarre cette phrase n'est pas claire, il n'aurait pas du dire ça.

"On est en clé 256"
256 bits je suppose.. quel standard ? clé RSA 256 ?
Plus sérieusement, je suppose que ça doit être du RSA 1024 minimum échangé avec de l'AES 256 (la ou le 128 complet n'a pas été cassé et prend 30% de perfs en moins), utiliser du 256 c'est plus marketting qu'autre chose selon moi, et on peut parier que quand le 128 tombera, le 256 suivra rapidement car on en sera aux ordinateurs quantiques, mais bon c'est pas très grave au pire.
C'est comme engager le dirsec de FB, je suppose que le mec est bon, mais c'est plus un argument d'autorité qu'autre chose dans le discours.

"des gens qui ne sont pas forcément aguerris à l'utilisation d'une plateforme" crée pour "les professionnels"
Ah bah voila, c'est de la faute des utilisateurs.
Même si il y a évidemment une part de vrai, c'est un peu chaud de le dire comme ça dans le contexte.
Mais force est de constater que l'utilisateur est un maillon faible, ce n'est pas une nouveauté, et pas mal de comptes piratés l'ont sans doute été via piratage de la boite mail de l'utilisateur (donc rien a voir avec Zoom).
"Si vous donnez le même numéro de meeting, vous allez finir avec des apéros à 200 personnes"
C'est vrai aussi, mais les problèmes constatés ne se limitent pas à ceux qui peuvent être imputés aux utilisateurs, ont détourne l'attention...

Bon ils ont néanmoins l'air de prendre le taureau par les cornes, vu la shitstorm (méritée) il n'y a que ça à faire.

J'espère que la sécurité sera de meilleure facture que le fond vert du monsieur...
icone Suivre les commentaires
Poster un commentaire