Cisco travaille actuellement à la correction de vulnérabilités sur son application de visioconférence Webex.
Ces failles de sécurité permettraient à des pirates informatiques de se joindre à des réunions en tant qu’utilisateurs fantômes, invisibles pour les autres participants.
Des chercheurs d’IBM ont découvert ces faiblesses du système alors qu’ils menaient une étude sur les outils de travail à distance utilisés par les employés de l’entreprise pendant la pandémie.
Selon eux, une fois combinées, les trois failles de sécurité permettaient à un attaquant d’obtenir un accès complet aux contenus audio et vidéo, au clavardage et au partage d’écran lors de réunions sans apparaître dans la liste de participants. Les pirates pouvaient en outre recueillir des informations sur les participants de la discussion, comme leur nom complet, leur adresse courriel et leur adresse IP. Les vulnérabilités donnaient même la possibilité de rester dans une réunion en tant qu’utilisateur fantôme après en avoir été exclu.
Les chercheurs d’IBM ont repéré les failles de sécurité au cours du processus « handshake », qui a lieu lors du lancement d’une nouvelle réunion Webex. Cette procédure automatisée de mise en présence établit les paramètres de communication entre deux entités avant que la communication commence. En français, on utilise souvent le terme « mise en liaison » pour désigner ce processus.
Les attaquants qui obtenaient l’adresse URL d’une réunion pouvaient se connecter à un serveur Webex et le manipuler pour accéder à la réunion et aux données des participants au moment du « handshake ».
« Nous avons identifié les valeurs spécifiques des informations du client qui pourraient être manipulées pendant le processus de handshake, pour rendre l’attaquant invisible sur le panel des participants », explique l’équipe de recherche d’IBM dans son rapport.
Avec cette technique, la seule façon dont les participants peuvent se rendre compte qu’ils ne sont peut-être pas seuls est d’entendre le signal sonore d’une nouvelle connexion audio. Lors des réunions qui comptent de nombreux participants, l’hôte désactive souvent la tonalité d’entrée et de sortie, ce qui permet à un utilisateur fantôme d’entrer en toute discrétion.
Dans d’autres cas, la tonalité de connexion de l’attaquant est émise, mais elle peut passer inaperçue pour l’hôte et les autres participants, qui n’associent pas chaque signal à un utilisateur spécifique.
Heureusement, selon les chercheurs d’IBM, cette méthode de piratage ne fonctionne que si les attaquants connaissent les adresses URL uniques des réunions Webex, ce qui limite les risques d’exploitation massive des failles de sécurité.
Cisco collabore avec IBM et compte publier des correctifs détaillés pour les trois vulnérabilités au cours des prochains jours.
Webex fait partie des applications de visioconférence qui ont connu une forte croissance depuis le début de la pandémie. Selon un récent rapport de la firme Aternity, qui se spécialise dans l’évaluation de l’expérience utilisateur, l’utilisation de Webex a augmenté de 451 % cette année.
