Vague de credential stuffing et de zoombombing sur Zoom
Alors que les confinements liés à la pandémie portaient l'usage de Zoom à des niveaux records, plus de 500 000 identifiants de comptes Zoom récoltés par credential stuffing ont été vendus ou distribués gratuitement sur le dark web, tandis que des réunions ouvertes étaient détournées lors d'une vague d'incidents perturbateurs de « zoombombing ».
- Victime
- Zoom Video Communications (et ses utilisateurs)
- données
- 530.0K
- utilisateurs
- 530.0K
En avril 2020, le monde étant confiné par la COVID-19 et l'usage de Zoom explosant d'environ 10 millions de participants quotidiens à plus de 200 millions, deux problèmes de sécurité ont convergé sur la plateforme : un déferlement de prises de contrôle de comptes par credential stuffing et une vague de détournements de réunions perturbateurs entrés dans le langage courant sous le nom de « zoombombing ».
Ce qui s'est passé
L'exposition des identifiants n'était pas le résultat d'une compromission des systèmes de Zoom. Les attaquants ont mené des attaques de credential stuffing — rejouant des paires e-mail/mot de passe ayant fuité lors de fuites antérieures sans rapport, contre la page de connexion de Zoom. Comme tant d'utilisateurs réutilisent leurs mots de passe, une fraction significative a réussi.
La société de cybersécurité Cyble a signalé avoir trouvé plus de 500 000 identifiants Zoom en circulation sur des forums du dark web en avril 2020. Cyble en a acheté environ 530 000 pour aussi peu que 0,002 $ chacun, et beaucoup d'autres étaient simplement distribués gratuitement pour gagner en réputation auprès des membres des forums. Chaque enregistrement compromis incluait généralement l'adresse e-mail, le mot de passe, l'URL de réunion personnelle et la HostKey de la victime — de quoi se connecter en tant qu'utilisateur ou détourner ses réunions.
En parallèle, le modèle de réunions ouvertes par défaut de la plateforme — où quiconque disposant d'un identifiant de réunion pouvait rejoindre — a permis le zoombombing : des participants non invités s'introduisant dans des cours, des appels professionnels et des événements publics pour afficher des contenus offensants ou perturbateurs. L'antenne du FBI à Boston a publié un avertissement public le 30 mars 2020 au sujet du détournement de téléconférences et de salles de classe en ligne.
Impact
- Plus de 500 000 comptes disposaient d'identifiants fonctionnels vendus ou distribués, avec exposition des URL de réunion personnelles et des host keys.
- Des écoles, des entreprises et des organismes publics ont temporairement interdit ou restreint Zoom, notamment les écoles publiques de New York, invoquant des préoccupations de sécurité et de confidentialité.
- Zoom a fait l'objet d'une surveillance réglementaire et de poursuites concernant ses déclarations de sécurité et de confidentialité, réglant plus tard un recours collectif américain pour 85 millions de dollars en 2021.
La réponse de Zoom
Le 1er avril 2020, le PDG Eric Yuan a publié des excuses publiques et annoncé un gel de 90 jours des nouvelles fonctionnalités afin que toute l'organisation d'ingénierie puisse se concentrer sur la sécurité et la confidentialité. Des changements concrets ont rapidement suivi :
- Mots de passe de réunion et salles d'attente activés par défaut, fermant la voie la plus facile au zoombombing.
- Réinitialisations forcées des mots de passe des comptes concernés et recours à des sociétés pour faire retirer les annonces de revente d'identifiants.
- Acquisition d'expertise en sécurité et développement du chiffrement de bout en bout, livré plus tard en 2020.
Pourquoi c'est important
L'épisode Zoom est un cas d'école de la réutilisation des mots de passe transformant des fuites de tiers en crise de première partie — et de la manière dont un produit optimisé pour un accès sans friction devient un risque de sécurité à une échelle soudaine. Il a démontré que les paramètres par défaut sont des décisions de sécurité : le simple fait d'activer les mots de passe et les salles d'attente par défaut a éliminé l'essentiel du zoombombing. L'incident est désormais une référence standard sur la manière de mener un programme de durcissement de sécurité d'urgence sous pression publique, et il a renforcé l'idée que les services grand public doivent filtrer les mots de passe connus comme compromis et proposer l'authentification multifacteur.
Chronologie
Le nombre de participants quotidiens aux réunions Zoom passe d'environ 10 millions (déc. 2019) à plus de 200 millions, les confinements liés à la COVID-19 imposant le télétravail et l'enseignement à distance dans le monde entier.
L'antenne du FBI à Boston met en garde contre le « détournement de téléconférences et de salles de classe en ligne » (zoombombing) après des perturbations de réunions scolaires et professionnelles.
Le PDG de Zoom, Eric Yuan, publie des excuses et annonce un gel des fonctionnalités de 90 jours pour concentrer l'ingénierie exclusivement sur la sécurité et la confidentialité.
La société de cybersécurité Cyble signale avoir trouvé plus de 500 000 identifiants Zoom en vente sur des forums du dark web, certains à des fractions de centime, beaucoup distribués gratuitement.
Zoom réinitialise les mots de passe concernés, mandate des sociétés pour fermer les sites de revente d'identifiants, et active par défaut les mots de passe de réunion et les salles d'attente.
Zoom déploie des protections supplémentaires à la suite de cet effort de sécurité, notamment le développement du chiffrement de bout en bout et des paramètres de sécurité par défaut.
Sources
- bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/over-500-000-zoom-accounts-sold-on-hacker-forums-the-dark-web/
- cpomagazine.comhttps://www.cpomagazine.com/cyber-security/half-a-million-zoom-accounts-compromised-by-credential-stuffing-sold-on-dark-web/
- blog.zoom.ushttps://blog.zoom.us/a-message-to-our-users/
- fbi.govhttps://www.fbi.gov/contact-us/field-offices/boston/news/press-releases/fbi-warns-of-teleconferencing-and-online-classroom-hijacking-during-covid-19-pandemic