AccordsActualités

Pour contrer la menace liée aux URL personnalisées Check Point s’associe à Zoom

Une étude menée par : Adi Ikan, Liri Porat et Ori Hamama

Introduction

Tandis que le monde commence à émerger du confinement lié au coronavirus et que les entreprises continuent de recourir au télétravail pour leurs collaborateurs, se connecter à des conférences Zoom fait désormais partie de notre quotidien. Le service de vidéoconférence était déjà populaire avant la pandémie, mais avec la « nouvelle normalité » de la distanciation sociale, Zoom est devenu la plateforme de référence au niveau mondial pour toutes sortes d’activités : réunions gouvernementales et réunions d’affaires de haut niveau, classes dans les écoles et les universités, et même des réunions familiales. Cela signifie que l’utilisation de Zoom a monté en flèche, passant de 10 millions de participants à des réunions par jour en décembre 2019 à plus de 300 millions en avril 2020.

Bien sûr, là où les gens vont, les criminels suivent. Il n’est donc pas surprenant que la croissance explosive de l’utilisation de Zoom ait été égalée par une augmentation du nombre d’enregistrements de nouveaux domaines, avec des noms incluant le mot Zoom, comme preuve que les cybercriminels utilisent les domaines Zoom comme appât pour attirer des victimes. Nous avons également détecté des fichiers malveillants se faisant passer pour le programme d’installation de Zoom.

Dans le cadre de nos efforts permanents pour répondre aux développements du paysage des menaces et contribuer à la communauté mondiale de la cybersécurité, nous avons collaboré avec Zoom Video Communications pour trouver des moyens de garantir que ses utilisateurs puissent profiter de tous ses avantages en toute sécurité. En janvier 2020, nous avons décrit une technique qui aurait permis à des pirates d’identifier et de participer à des réunions actives pour lesquelles ils n’étaient pas invités. Dans le cadre de notre coopération, Zoom a rapidement mis en place un certain nombre de mesures d’atténuation qui ont permis de faire en sorte que de telles attaques ne soient plus possibles.

Et récemment, nous avons découvert un autre problème de sécurité potentiel, comme décrit ci-dessous, qui aurait pu conduire à des tentatives réussies de phishing. Grâce à notre collaboration continue et au signalement du problème par Check Point, Zoom a résolu le problème en y apportant une solution.

Le coût de la personnalisation

Une des caractéristiques de Zoom est la possibilité de créer une URL personnalisée, décrite comme suit sur le site web de Zoom : une URL personnalisée peut par exemple inclure le nom de votre entreprise, telle que votreentreprise.zoom.us. L’entreprise peut également ajouter un site web dédié et personnalisé pour ce service.

Le mécanisme des URL personnalisées permet aux entreprises de créer une version spécifique des liens d’invitation à des conférences Zoom. Avant la correction apportée par Zoom, un pirate pouvait tenter de se faire passer pour l’URL personnalisée d’une entreprise et envoyer des invitations qui semblaient légitimes afin de tromper une victime. Le pirate aurait également pu rediriger la victime vers un sous domaine avec un site web dédié, dans lequel la victime aurait pu saisir son identifiant de réunion correspondant, sans soupçonner que l’invitation ne provenait pas de l’entreprise légitime.

Le problème de sécurité avec le mécanisme des URL personnalisées

La question de la sécurité concerne les fonctionnalités des sous-domaines décrites ci-dessus. Il existe plusieurs façons d’entrer dans une réunion contenant un sous-domaine, notamment en utilisant un lien direct avec un sous-domaine contenant l’ID de la réunion, ou en utilisant l’interface web du sous-domaine personnalisé de l’entreprise. Examinons chacune de ces options tour à tour.

Lien direct

Ce scénario visait les URL personnalisées. Lors de la création d’une réunion, un pirate peut modifier l’URL du lien d’invitation pour y inclure un sous-domaine enregistré. Par exemple, si le lien d’invitation d’origine était https://zoom[.]us/j/7470812100, le pirate pouvait le modifier en https://<nom de l’entreprise>[.]zoom[.]us/j/7470812100. Une victime recevant une telle invitation n’aurait eu aucun moyen de savoir que l’invitation ne provenait pas réellement de l’entreprise en question.

Le pirate aurait également pu changer le lien de /j/ à /s/ : https://<nom de l’entreprise>[.]zoom[.]us/s/7470812100 . Étant donné qu’il existe des cas où les logos des entreprises apparaissent lors de la saisie d’une telle URL, cela aurait pu ajouter une couche supplémentaire de supercherie. De plus, en cliquant sur le bouton « Se connecter pour commencer », la victime pouvait souvent être redirigée vers le portail légitime de l’entreprise. Ce problème permet d’usurper l’identité des entreprises grâce à la fonctionnalité des URL personnalisées.

Interface web dédiée de l’entreprise

Une autre façon de participer à une réunion est d’utiliser l’interface web dédiée du sous-domaine de l’entreprise.

L’utilisateur peut saisir n’importe quel identifiant de réunion dans cet écran, qu’elle ait été programmée à l’origine par un collaborateur de cette entreprise ou non, et rejoindre la session Zoom correspondante. Un pirate aurait pu inviter une victime à rejoindre la session via le site web dédié, sans que la victime ait le moyen de savoir que l’invitation ne provenait pas réellement de l’entreprise légitime.

Impact

Il existe de nombreux scénarios quotidiens qui auraient pu être exploités en utilisant cette méthode d’usurpation d’identité, afin d’aboutir à une tentative réussie de phishing, en particulier si elle est utilisée pour usurper l’URL Zoom personnalisée d’une entreprise.

Par exemple, un pirate pourrait se présenter comme étant un collaborateur légitime de l’entreprise, en envoyant une invitation à partir de l’URL personnalisée à des clients pertinents afin de gagner en crédibilité. Cette activité aurait alors pu être mise à profit pour dérober des identifiants et des informations sensibles, ainsi que pour d’autres actions malveillantes.

Atténuation et résumé

Tous les détails concernant la manière dont un pirate pourrait détourner l’adresse du sous-domaine Zoom d’une entreprise ou le site web du sous-domaine en question ont été communiqués de manière responsable à Zoom Video Communications, Inc. dans le cadre de notre partenariat et de notre coopération. Ce problème de sécurité a été résolu par Zoom, et les vulnérabilités décrites ne sont plus exploitables.

Adi Ikan, le responsable du groupe d’études et de protection réseau de Check Point déclarait : « Notre partenariat avec Zoom a permis aux utilisateurs de Zoom dans le monde entier de bénéficier d’une expérience de communication plus sûre, plus simple et plus fluide. CP<R> s’efforce d’améliorer la sécurité des technologies et des infrastructures, et d’une manière générale d’enrichir la communauté de la cybersécurité. Nous poursuivrons ces efforts en nous rapprochant de leaders tels que Zoom.

Il est à noter que 90 % des cyberattaques débutent par un email de phishing. Pour veiller à protéger de manière adéquate les vecteurs d’attaque de votre entreprise, nous vous suggérons de consulter le livre blanc Les humains sont votre maillon le plus faible afin de découvrir le risque quotidien posé par les emails de phishing.

Pour profiter des différents avantages offerts par l’utilisation quotidienne de Zoom en toute sécurité, voici quelques conseils à suivre. Bonnes réunions Zoom !

« Zoom a abordé le problème remonté par Check Point et a ajouté des garanties supplémentaires pour la protection de ses utilisateurs. Zoom encourage ses utilisateurs à examiner minutieusement les détails de toute réunion à laquelle ils prévoient de participer avant de s’inscrire, et à ne rejoindre que les réunions d’utilisateurs en qui ils ont confiance. Nous apprécions que Check Point nous ait prévenu de ce type de problème.» Loïc Rousseau, le directeur France de Zoom.

À propos de Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. est l’un des principaux fournisseurs de solutions de cybersécurité pour les gouvernements et les entreprises dans le monde. Ses solutions protègent les clients contre les cyberattaques de 5e génération grâce à un taux de blocage inégalé des logiciels malveillants, des logiciels rançonneurs et autres types d’attaques. Check Point propose Infinity Total Protection avec prévention avancée des menaces de 5e génération, une architecture de sécurité à plusieurs niveaux, qui défend les données des entreprises dans le Cloud, les réseaux et les appareils mobiles. Check Point fournit le système d’administration unifiée de la sécurité le plus complet et le plus intuitif. Check Point protège plus de 100 000 entreprises de toute taille.

perlafouine

Informations d'entreprises ou de partenaires

Articles similaires

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Bouton retour en haut de la page