Alors que l’application de visioconférence Zoom connaît un énorme succès (de 10 millions d’utilisateurs en décembre à 200 millions en mars), notamment en raison du confinement causé par le coronavirus, une faille donnant accès aux données de milliers d’utilisateurs vient d’être mise à jour.
Comme le rapporte Vice, Zoom regroupe dans un même répertoire des contacts ayant le même nom de domaine dans leur courriel.
Les membres de ce répertoire peuvent alors chercher d’autres utilisateurs dans le groupe, accéder à leurs messages, photos et statuts ou les appeler en vidéo.
Ces répertoires peuvent compter près d’un millier d’utilisateurs.
Si cette fonctionnalité a été créé pour regrouper des employés d’une même entreprise, l’application aurait également rassemblé dans le même répertoire des utilisateurs inscrits sur Zoom avec leur courriel personnel.
Parmi les domaines incriminés, on trouve notamment xs4all.nl, dds.nl ou encore quicknet.nl, des fournisseurs d’accès à Internet néerlandais.
Les domaines standards comme gmail.com ou yahoo.com ne seraient pas concernés.
Zoom a indiqué tenir à jour une liste des domaines visés. Les utilisateurs peuvent aussi faire part de nouveaux noms de domaine touchés par cette faille technique.
Ce problème s’ajoute à de précédentes failles relevées dans l’application.
Un problème de sécurité rendu public l’été dernier, par exemple, permettait de lancer un appel à partir d’ordinateurs Mac sans l’autorisation des utilisateurs.
A cause d’une autre faille, des pirates pouvaient retirer des participants d’une visioconférence ou écouter des appels. Zoom a d’ailleurs confirmé que, contrairement à ce que l’application assure sur son site, ses appels n’étaient pas chiffrés de bout en bout.
Plus récemment, une plainte a été portée contre Zoom car sa version iOS partage des données d’utilisateurs à Facebook.
