Il est possible d’usurper Google Docs ou Zoom pour hacker quelqu’un

Google Docs
Google Docs

Des experts en cybersécurité ont découvert que les URL personnalisés de Google Docs, Zoom ou Box peuvent être copiés ou modifiés à volonté. Un pirate informatique pourrait envoyer un lien sans que la victime suspecte un piège dans l’adresse.

Il est plus facile d’usurper un grand groupe qu’on ne le pense. Les chercheurs de Varonis, une société spécialisée dans la cyber sécurité ont détecté une faille dans les URL de services comme Google Docs, Zoom ou Box.

Ces entreprises utilisent des adresses web personnalisées pour partager des fichiers, inviter une personne à une visio-conférence, etc. Or, Varonis a découvert que seulement une partie de cet URL est protégée, le reste est modifiable.

Les chercheurs donne un exemple dans leur rapport publié ce 11 mai 2022. Zoom, l’application populaire de visioconférence, propose à ses clients de personnaliser le sous domaine. Ainsi on pourrait par exemple demander une adresse numerama.zoom.com afin que nos employés lancent une réunion en ligne ou un webinar.

Les experts de Varonis se sont attaqués aux liens de réunions déjà enregistrées ou de webinair et dans de nombreux cas sont parvenus à modifier l’URL ou le rediriger vers une autre adresse sans que l’utilisateur ne s’en rendent compte.

Ainsi il serait possible de proposer à un employé de visionner la dernière réunion enregistrée sous l’adresse numerama.zoom.com, mais cette dernière renvoie en réalité vers un lien frauduleux.

[Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

Notre objectif est de créer un endroit sûr et engageant pour que les utilisateurs communiquent entre eux en fonction de leurs centres d’intérêt et de leurs passions. Afin d'améliorer l’expérience dans notre communauté, nous suspendons temporairement les commentaires d'articles