Avez-vous déjà eu l’impression d’être observé ? Si vous avez actuellement l’extension Screencastify Chrome active, vous pourriez l’être. Une faille qui, selon la société, a été «corrigée» peut encore permettre à des acteurs malveillants d’accéder à l’activité de la webcam et du bureau des utilisateurs sans méfiance, et de l’enregistrer pour tout ce qu’ils jugent bon.
Vous avez probablement vu ces e-mails de « sextorsion » : « Nous avons un enregistrement de vous en train de faire X, Y, Z. Envoyez-nous 10 000 $ dans une crypto-monnaie obscure ou nous publierons la vidéo pour que tout le monde puisse la voir. »
Avec plus de 10 000 000 d’installations, Screencastify s’adresse à une gamme d’entreprises telles que Webflow, Teachable, Atlassian, Netlifyrunning, Marketo et ZenDesk. Il s’agit d’une extension qui permet aux utilisateurs d’enregistrer, d’éditer et de soumettre du contenu vidéo pour des projets professionnels et scolaires, de sorte que les utilisateurs incluent des enseignants et des écoliers à différents stades de leur éducation. Je ne peux qu’imaginer la panique des parents lorsque la vulnérabilité a été découverte, et leur fureur potentielle sachant qu’elle n’a toujours pas été correctement corrigée.
D’après Bleeping Computer (s’ouvre dans un nouvel onglet)une vulnérabilité de script intersite (XSS) dans le logiciel Screencastify a été signalée par le chercheur en sécurité Wladimir Palant le 14 février 2022. Les développeurs derrière l’extension Chrome ont rapidement envoyé un correctif supposé, mais Palant a clairement indiqué que l’application met toujours utilisateurs en position vulnérable à l’exploitation et à l’extorsion.
Lors de l’installation de Screencastify, il demande à accéder à votre Google Drive et crée un jeton d’accès Google OAuth permanent pour le compte de l’entreprise. Les dossiers cloud créés avec le jeton, dans lesquels tous les projets vidéo des utilisateurs sont enregistrés, seraient masqués.
L’API desktopCapture de Chrome et les autorisations tabCapture sont également accordées automatiquement lorsque vous installez le logiciel, ce qui signifie qu’il a également la capacité d’enregistrer votre bureau.
De plus, l’autorisation de l’API WebRTC du logiciel n’est demandée qu’une seule fois, ce qui signifie que les fonctions de capture sont activées en permanence dès le départ, à moins que vous ne régliez le paramètre sur « demander l’autorisation » à chaque fois. Même alors, Palant a découvert que les pirates pouvaient non seulement voler le jeton d’authentification, mais également utiliser l’application Screencastify pour enregistrer sans pour autant informer l’utilisateur du tout.
« Peu de choses semblent avoir changé ici, et j’ai pu vérifier qu’il est toujours possible de démarrer un enregistrement par webcam sans aucun indice visuel », explique Palant dans son blog de recherche. (s’ouvre dans un nouvel onglet).
« Le problème se situait dans la page d’erreur affichée si vous aviez déjà soumis une vidéo à un défi et que vous tentiez d’en soumettre une autre. » Et comme la page d’erreur a une adresse fixe, « elle peut être ouverte directement plutôt que de déclencher la condition d’erreur ».
Bleeping Computer et Palant ont tous deux contacté Screencastify, mais en vain.
Voici un bref aperçu de la politique de confidentialité de Screencastify :
« Nous utilisons des mesures de sécurité et de technologie conformes aux normes de l’industrie pour essayer de protéger vos informations et nous assurer qu’elles ne sont pas perdues, endommagées ou consultées par quiconque ne devrait pas les voir. »
« Malgré nos mesures de sécurité, nous ne pouvons garantir la sécurité absolue de vos informations personnelles. »
Espérons que la vulnérabilité soit triée correctement, et bientôt, avant que des employés ou des pirates malveillants ne commencent à utiliser l’exploit. Le mieux est d’utiliser une plate-forme différente pour le moment, peut-être.