Plus de 500 000 comptes Zoom ont été repérés en vente sur Internet. Une nouvelle défaillance du service de visioconférence ? En l’état actuel des choses, il apparaît plutôt que ces comptes ont été obtenus en profitant en partie de la négligence des internautes.

Propulsée sur le devant de la scène à cause du confinement et de la nécessité de mettre en place du télétravail un peu partout pour permettre la poursuite de certaines activités, l’application de visioconférence Zoom a connu un mois très difficile : envahissement de réunions virtuelles par des inconnus, découverte de failles de sécurité sérieuses, documentation insuffisante

Ces déboires ont entaché la réputation du programme. Mais si les faux pas se sont accumulés ces dernières semaines, et les insuffisances criantes en matière de sécurité, tout n’est pas à mettre sur son dos. La preuve : s’il a été découvert mi-avril la vente de près de 530 000 comptes Zoom, les investigations montrent pour le moment qu’il ne s’agit pas d’un piratage du service… mais de « credential stuffing ».

En clair, il s’agit de pirater des comptes en utilisant des combinaisons d’identifiants et de mots de passe qui ont été dérobées précédemment (par du hameçonnage via mail, par du piratage de sites sur lesquels les victimes étaient déjà inscrites, par de l’ingénierie sociale, etc.). Ce « credential stuffing » peut d’ailleurs être mis en œuvre par d’autres individus que ceux qui ont récupéré au départ les codes d’accès.

Le « credential stuffing » marche d’une part parce que l’authentification à deux facteurs n’est pas disponible partout, alors qu’il s’agit d’une défense très efficace même en cas de compromission du mot de passe, mais aussi parce que les internautes ont la fâcheuse tendance… à utiliser le même mot de passe partout. Donc si on le récupère à un endroit, par piratage, on peut l’essayer ailleurs.

Des mots de passe sur un ordinateur. // Source : Léa Hamadi pour Numerama.

Des mots de passe sur un ordinateur.

Source : Léa Hamadi pour Numerama.

La découverte de ces 530 000 comptes est à mettre au crédit de Cyble, une entreprise spécialisée dans la cybersécurité. Ses équipes qui suggèrent qu’il s’agit d’un « credential stuffing » et non pas d’un piratage d’une base de données de Zoom — le service n’ayant pas fait état d’ailleurs d’un tel accès frauduleux. Les données incluent l’adresse mail, le mot de passe, l’URL de la salle de réunion personnelle et la clé d’hébergement.

Avant qu’ils ne se retrouvent en ligne, les pirates ont vraisemblablement automatisé les tests destinés à vérifier quelles sont les combinaisons qui marchent sur Zoom. D’après les constatations de Cyble, des adresses sont cédées gratuitement (peut-être pour prouver la qualité du produit vendu) tandis que les autres sont vendues à 0,002 dollar par compte – en tout, cela s’achète pour un millier de dollars.

La sécurité informatique est aussi du ressort des internautes

Face à cette menace, Zoom propose pourtant une solution efficace : l’authentification à deux facteurs. Même si le mot de passe et l’identifiant sont dans la nature, la connexion frauduleuse pourra être bloquée grâce à cette deuxième barrière de sécurité. Le souci, c’est qu’elle est optionnelle. Zoom ne l’impose pas et ne la met pas particulièrement en avant. Dès lors, beaucoup risquent d’en ignorer l’existence.

Mais si Zoom devrait davantage promouvoir et imposer ses options de sécurité les plus avancées (d’autant que l’application part de loin et a beaucoup à faire pour se rattraper) le fait est que la sécurité informatique est une chaîne composée de plusieurs maillons et que l’internaute en fait partie. Et l’on sait que la solidité d’une chaîne est égale à son maillon le plus faible, là où la rupture se fera.

Il est impératif que les internautes s’obligent à utiliser un mot de passe différent par service qu’ils utilisent, afin justement d’éviter cet effet boule de neige où un seul piratage menace en cascade d’autres comptes. Il ne s’agit pas d’en changer régulièrement, mais d’en utiliser un convenable et unique à chaque fois et de ne le renouveler que si un incident survient. Et pour les mémoriser, un gestionnaire de mots de passe peut servir.

une comparateur meilleur gestionnaire mdp numerama

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.