Re: BCBG

Top Page

Reply to this message
Author: Olivier Allard-Jacquin
Date:  
To: guilde
Subject: Re: BCBG
    Bonjour

Le 06/04/2020 à 14:50, Frédéric a écrit :
> Le vendredi 03 avril 2020, Mathieu a écrit :
>
>> Ben sauf que des analyses sérieuses, il y'en a, et que Zoom a
>> effectivement un très mauvais passif en terme de sécurité (déjà grosse
>> faille de sécurité l'année dernière):
>>
>> https://twitter.com/bcrypt/status/1245472251895361536
>>
>> donc à ce niveau là c'est plus du FUD.
>
> Y a-t-il une solution pour faire tourner le client linux zoom dans un coin
> isolé, où il ne peut pas accéder aux infos du PC ?
>
> Est-ce qu'utiliser un compte différent suffit ?


    J'ai dus l'installer chez une amie qui en avait besoin (ce n'est pas
moi qui est imposé ce truc !!), et l'installation s'est fait via un
.deb, donc en root.


    Après, il me semble que le .deb a lancé l'installation de pleins de
fichiers qu'il est allé cherché sur le net, donc il y a encore moins de
contrôle sur ce qu'il a fait.


    A partir de là, je comme des scripts "proprios" ont été lancés sur une
machine avec les droits root, je considère que la machine est
entièrement compromise.


    Donc si tu veux être tranquille, il faut l'installer dans un VM.


    Mais il ne faut pas oublier que ce truc, installé dans une VM ou non,
aura accès à toute ton infrastructure réseau interne. Donc tous les
répertoires partagés en SMB ou en NFS sont potentiellement "visités" par
Zoom. Y compris aussi des serveurs FTP, telnet (sans mot de passe),
HTTP, etc ... Donc il faut que tu protèges ton réseau interne de que tu
peux considérer comme une menace.


    Enfin, ce qui est probablement le plus problématique : Les clés SSH. Il
est probable que tu ais une clé SSH que tu utilises pour te connecter
sans mot de passe sur tes machines. Si cette clé SSH n'est elle-même pas
protégée par un mot de passe, alors zoom peut récupérer sans problème
tout tes ~/.ssh/id_*, et se connecter sans peine sur tes serveurs. C'est
ennuyeux ...


    Même chose évidement pour tes clés GPG.


    Et il reste enfin les mot de passes sauvés dans les profiles de
Firefox, Thunderbird, etc ...


    Donc pour moi, il faut à minima isoler ce truc sur autre chose que ta
machine principale.


    Cordialement,
                            Olivier
-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
       /   / \  / \   \   Web:  http://olivieraj.free.fr/
      /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!