Discussion :

[Patrick Ruiz]

L’éditeur de l'application de vidéoconférence Zoom retire le code du SDK Facebook de la version iOS
Car celui-ci transférait les données des utilisateurs vers le réseau social

Ce changement intervient après des signalements que l'application Zoom pour iOS envoyait des informations d’analytique à Facebook lors de l’ouverture de l'application par les utilisateurs.

Vendredi, l'éditeur de l'application de vidéoconférence Zoom a publié une mise à jour de son application iOS qui empêche l'envoi de certaines données à Facebook. Cette décision fait suite à une analyse de l'application qui a révélé qu'elle envoyait au géant des réseaux sociaux des informations. Toutefois, la version de la politique de confidentialité de l’application Zoom au moment de l’analyse ne faisait pas mention de ce transfert de données vers Facebook, ce que l’éditeur a tenu à expliquer dans un billet de blog y relatif.

« Zoom prend la vie privée de ses utilisateurs très au sérieux. Nous aimerions vous faire part d'un changement que nous avons apporté concernant l'utilisation du SDK Facebook.

Nous avons initialement mis en place la fonctionnalité "se connecter via Facebook" en utilisant le SDK Facebook pour iOS afin de fournir à nos utilisateurs un autre moyen pratique d'accéder à notre plateforme. Cependant, nous avons été informés le mercredi 25 mars 2020 que le SDK de Facebook recueillait des informations non nécessaires à la fourniture de nos services. Les informations collectées par le SDK Facebook ne comprenaient pas d'informations et d'activités liées aux réunions telles que les participants, les noms, les notes, etc., mais plutôt des informations sur les appareils telles que le type et la version du système d'exploitation mobile, le fuseau horaire de l'appareil, le système d'exploitation de l'appareil, le modèle et l'opérateur de mobile de l'appareil, la taille de l'écran, les cœurs de processeur et l'espace disque.

La confidentialité de nos clients est incroyablement importante pour nous et c'est pourquoi nous avons décidé de supprimer le SDK Facebook de notre client iOS et avons reconfiguré la fonctionnalité afin que les utilisateurs puissent toujours se connecter à Facebook via leur navigateur. Les utilisateurs devront se mettre à jour avec la dernière version de notre application qui est déjà disponible à 14h30, heure du Pacifique, le vendredi 27 mars 2020, pour que ces changements soient effectifs et nous les encourageons vivement à le faire », précise-t-il.

Facebook offre un certain nombre d’outils technologiques pour les développeurs de logiciels et l’un des plus populaires est Facebook Login au centre de la note d’information de l’éditeur de l’application Zoom. Facebook Login permet aux internautes de se connecter à un site Web ou une application en utilisant les informations de connexion à leur compte Facebook, ce qui évite d’en créer de nouvelles. Les internautes s’en servent probablement parce que l’outil est facile d’utilisation (en deux clics, ils peuvent se connecter à une application) et élimine le besoin de se souvenir d'une nouvelle combinaison pseudo/mot de passe.

En 2015, un professeur de l’université de Cambridge du nom d’Aleksandr Kogan a créé une application appelée « thisisyourdigitallife » qui s’appuyait sur Facebook Login. Quelque 270 000 personnes en avaient fait usage (de Facebook Login) pour créer des comptes sur son application. Trois ans plus tard, le scandale Cambridge Analytica éclatait révélant la divulgation des données personnelles d’une cinquantaine de millions d’utilisateurs du réseau social (Facebook).

Le parallèle importe quand on sait que du scandale Cambridge Analytica à l’affaire Zoom le dénominateur commun d’un point de vue technique est que le développeur qui choisit de faire usage de Facebook Login dispose de certains droits d’accès (offerts par les responsables du réseau social) aux données des utilisateurs. À l’époque du scandale Cambridge Analytica, l’ouverture avait été telle qu’à partir des données des 270 000 premiers utilisateurs, Aleksandr Kogan avait pu être entré en possession de celles de leur réseau d’amis. Depuis, le niveau de détail avec lequel des développeurs tiers peuvent entrer en possession des données personnelles se serait resserré, mais l'utilisation de Facebook Login reste l’un des moyens dont les développeurs tiers se servent pour recueillir des données d’analyse de leur audience.

Source : blog Zoom

Et vous ?

Qu’en pensez-vous ?
L’éditeur de Zoom a-t-il décidé de retirer le SDK de son client simplement pour éviter d’avoir mauvaise presse ? Dispose-t-il d'autres moyens furtifs pour entrer en possession de ces données ?

Voir aussi :

Facebook a développé une app mobile de reconnaissance faciale qui permettait d'identifier ses employés et leurs amis, en pointant le téléphone dans leur direction
Twitter permet maintenant d'utiliser l'authentification à deux facteurs sans numéro de téléphone, mais il faudra activer la confirmation via une application pour continuer à profiter de 2FA
Google va payer 1,5*million de dollars pour les exploits les plus critiques sur Android, dans le cadre de son programme Android Security Rewards
Facebook teste le mode concurrent, un ensemble de nouvelles fonctionnalités qui aident les apps React à rester réactives et à s'adapter de façon fluide aux capacités et au débit réseau de l'appareil
USA*: deux anciens employés de Twitter accusé d'avoir profité de leur position dans la structure pour espionner des opposants au régime saoudien

[Stéphane le calme]

Les réunions sur Zoom ne supportent pas le chiffrement de bout en bout,
Zoom a donc la capacité technique d'espionner les réunions vidéo privées

Zoom, le service de visioconférence dont l'utilisation a explosé au milieu de la pandémie de Covid-19, prétend implémenter un chiffrement de bout en bout, un protocole largement compris comme la forme de communication Internet la plus privée puisqu’il protège les conversations de toutes les parties extérieures. En fait, Zoom utilise sa propre définition du terme, celle qui permet à Zoom d'accéder à la vidéo et à l'audio non chiffrés à partir des réunions.

Avec des millions de personnes dans le monde travaillant à domicile afin de ralentir la propagation du coronavirus, les affaires sont en plein essor pour Zoom, ce qui n’a pas manqué d’attirer l'attention sur l'entreprise et ses pratiques de confidentialité, y compris une politique, mise à jour plus tard, qui semblait donner à l'entreprise l'autorisation d'exploiter des messages et des fichiers partagés lors de réunions à des fins de ciblage publicitaire.

Pourtant, Zoom offre fiabilité, facilité d'utilisation et au moins une assurance de sécurité très importante : tant que vous vous assurez que tout le monde dans une réunion Zoom se connecte en se servant de « l'audio de l'ordinateur » au lieu de procéder à un appel depuis un téléphone, la réunion est sécurisée avec un chiffrement de bout en bout, du moins selon le site Web de Zoom, son livre blanc sur la sécurité et l'interface utilisateur de l'application. Mais malgré ce marketing trompeur, le service ne prend pas en charge le chiffrement de bout en bout pour le contenu vidéo et audio, du moins comme le terme est communément compris. Au lieu de cela, il offre ce qu'on appelle habituellement le chiffrement de transport.

Dans le livre blanc de Zoom, il existe une liste de « fonctionnalités de sécurité avant la réunion » disponibles pour l'hôte de la réunion qui commence par « Activer une réunion chiffrée de bout en bout (E2E) ». Plus loin dans le livre blanc, il est fait mention de « Sécuriser une réunion avec le chiffrement E2E » comme étant une « capacité de sécurité en réunion » disponible pour les hôtes de réunion. Lorsqu'un hôte démarre une réunion avec le paramètre « Exiger le chiffrement pour les points de terminaison tiers » activé, les participants voient un cadenas vert qui dit, « Zoom utilise une connexion chiffrée de bout en bout » lorsqu'ils passent la souris dessus.

Un chiffrement de bout en bout, oui, mais pas au sens traditionnel

Mais lorsque l’entreprise a été contactée pour savoir si les réunions vidéo sont réellement chiffrées de bout en bout, un porte-parole de Zoom a écrit: « Actuellement, il n'est pas possible d'activer le chiffrement E2E pour les réunions vidéo Zoom. Les réunions vidéo Zoom utilisent une combinaison de TCP et UDP. Les connexions TCP sont établies à l'aide de TLS et les connexions UDP sont chiffrées avec AES à l'aide d'une clé négociée sur une connexion TLS ».

Le chiffrement utilisé par Zoom pour protéger les réunions est TLS, la même technologie que les serveurs Web utilisent pour sécuriser les sites Web HTTPS. Cela signifie que la connexion entre l'application Zoom exécutée sur l'ordinateur ou le téléphone d'un utilisateur et le serveur Zoom est chiffrée de la même manière que la connexion entre votre navigateur Web et ce billet (sur https://www.developpez.com) est chiffrée. Il s'agit du chiffrement de transport, qui est différent du chiffrement de bout en bout, car le service Zoom lui-même peut accéder au contenu vidéo et audio non chiffré des réunions Zoom. Ainsi, lorsque vous avez une réunion Zoom, le contenu vidéo et audio restera privé pour toute personne espionnant votre Wi-Fi, mais il ne restera pas privé pour la société.

Pour qu'une réunion Zoom soit chiffrée de bout en bout, le contenu vidéo et audio devrait être chiffré de telle sorte que seuls les participants à la réunion aient la possibilité de la déchiffrer. Le service Zoom lui-même pourrait avoir accès au contenu de la réunion chiffré, mais n'aurait pas les clés de déchiffrement nécessaires pour le déchiffrer (seuls les participants à la réunion auraient ces clés) et, par conséquent, n'aurait pas la capacité technique d'écouter les réunions privées.

« Lorsque nous utilisons l'expression ‘de bout en bout’ dans nos autres publications, cela fait référence à la connexion chiffrée du point de terminaison Zoom au point de terminaison Zoom », a avancé un porte-parole de Zoom, faisant apparemment référence aux serveurs Zoom comme des « points de terminaison » même s'ils se trouvent entre les clients Zoom. « Le contenu n'est pas déchiffré tandis qu’il est transféré à travers le cloud Zoom » via la mise en réseau entre ces machines.

Seule la fonctionnalité de chat textuel en réunion semble bénéficier du chiffrement de bout en bout

Matthew Green, cryptographe et professeur d'informatique à l'Université Johns Hopkins, souligne que la vidéoconférence de groupe est difficile à chiffrer de bout en bout. En effet, le fournisseur de services doit détecter qui parle pour agir comme un standard téléphonique, ce qui lui permet d'envoyer uniquement un flux vidéo haute résolution de la personne qui parle en ce moment ou qu'un utilisateur sélectionne au reste du groupe, et d'envoyer des flux vidéo en basse résolution d'autres participants. Ce type d'optimisation est beaucoup plus facile si le fournisseur de services peut tout voir, car il n'est pas chiffré.

« Si tout est chiffré de bout en bout, vous devez ajouter des mécanismes supplémentaires pour vous assurer que vous pouvez faire ce type de commutateur ‘qui est en train de parler’, et vous pouvez le faire d'une manière qui ne laisse pas couler beaucoup d'informations . Vous devez pousser cette logique jusqu'aux points d'extrémité », a-t-il noté. Ce n'est pas impossible, cependant, a déclaré Green, comme le démontre FaceTime d'Apple, qui permet la vidéoconférence de groupe chiffrée de bout en bout. « C'est faisable, ce n’est simplement pas facile ».

« Ils sont un peu flous sur ce qui est chiffré de bout en bout », a déclaré Green à propos de Zoom. « Je pense qu'ils font cela d'une manière un peu malhonnête. Ce serait bien s'ils venaient à dire la vérité ».

La seule fonctionnalité de Zoom qui semble être chiffrée de bout en bout est le chat textuel en réunion. « Le chiffrement de chat Zoom E2E permet une communication sécurisée où seul le destinataire prévu peut lire le message sécurisé », indique le livre blanc. «Zoom utilise une clé publique et privée pour chiffrer la session de chat avec Advanced Encryption Standard (AES-256). Les clés de session sont générées avec un ID matériel unique pour éviter que les données ne soient lues sur d'autres appareils ». Un porte-parole de Zoom a expliqué que « Lorsque le chiffrement de bout en bout pour le chat est activé, les clés sont stockées sur les appareils locaux et Zoom n'a pas accès aux clés pour déchiffré les données ».

Aucun rapport de transparence

Sans chiffrement de bout en bout, Zoom a la capacité technique d'espionner les réunions vidéo privées et pourrait être contraint de remettre les enregistrements des réunions aux gouvernements ou aux forces de l'ordre en réponse à des demandes légales. Alors que d'autres sociétés comme Google, Facebook et Microsoft publient des rapports de transparence qui décrivent exactement le nombre de demandes de données d'utilisateurs reçues par les gouvernements de quels pays et le nombre de celles auxquelles ils se conforment, Zoom ne publie pas de rapport de transparence. Le 18 mars, le groupe de défense des droits de l’homme Access Now a publié une lettre ouverte appelant Zoom à publier un rapport de transparence pour aider les utilisateurs à comprendre ce que l'entreprise fait pour protéger leurs données.

« Les rapports de transparence sont l'un des moyens les plus efficaces pour les entreprises de divulguer les menaces à la vie privée et à la liberté d'expression des utilisateurs. Ils nous aident à comprendre les lois de surveillance dans différentes juridictions, fournissent des informations utiles sur les fermetures et les interruptions de réseau, et ils nous montrent quelles entreprises combattent les demandes incorrectes d'informations sur les utilisateurs », a déclaré Isedua Oribhabor, analyste des politiques américaines chez Access Now. L'indice de rapports de transparence d'Access Now montre une tendance à la baisse dans la consistance des rapports de transparence, ce qui, selon Oribhabor, supprime un outil essentiel pour les utilisateurs et la société civile pour tenir les gouvernements et les entreprises responsables.

Oribhabor a souligné que Zoom pourrait être contraint de remettre des données aux gouvernements qui souhaitent surveiller les réunions en ligne ou contrôler la diffusion d'informations lorsque les militants se tournent vers des manifestations en ligne. L'absence de rapport sur la transparence rend difficile la détermination de l'augmentation du nombre de demandes et la manière dont Zoom répondrait.

« Les entreprises ont la responsabilité d'être transparentes sur ce type de demandes, d'aider les utilisateurs et la société civile à voir où se produisent les abus du gouvernement et comment l'entreprise les combat », a déclaré Oribhabor.

Sources : Access Now (rapports de transparence), Access Now (lettre à Zoom), Zoom (papier blanc, site web), Harvard, Consumer Reports

Et vous ?

De quel outil vous servez-vous pour vos réunions en ligne ?
Que pensez-vous de Zoom ?
Que pensez-vous du fait que Zoom n'implémente pas actuellement le chiffrement de bout en bout ?

[Patrick Ruiz]

L’éditeur de l’application de vidéoconférence Zoom poursuivi en justice pour avoir transmis les données des utilisateurs à Facebook
Via son SDK « Facebook Login »

Un utilisateur de Zoom a, lundi dernier, intenté une action collective contre l’éditeur de l’application de vidéoconférence devant un tribunal de Californie. L’initiative fait suite à des signalements que l'application Zoom pour iOS envoyait des informations d’analytique à Facebook lors de l’ouverture de l'application par les utilisateurs.

« Lors de l'installation ou à chaque ouverture de l'application Zoom, elle recueille les informations personnelles de ses utilisateurs et les divulgue, sans préavis ni autorisation adéquate, à des tiers, y compris Facebook, portant ainsi atteinte à la vie privée de millions d'individus », rappelle la plainte. En effet, la version de la politique de confidentialité au moment de l’émission du premier signalement ne faisait pas mention de ce transfert de données vers Facebook.

Dans son explication y relative, l’éditeur de l’application Zoom souligne que le choix de s’appuyer sur Facebook Login était motivé par l’envie de fournir aux utilisateurs un moyen pratique de se connecter à Zoom. En effet, Facebook Login est l’un des outils technologiques que le réseau social met à la disposition des développeurs pour permettre aux internautes de se connecter à un site Web ou une application en utilisant les informations de connexion à leur compte Facebook, ce qui évite d’en créer de nouvelles. Les internautes s’en servent probablement parce que l’outil est facile d’utilisation (en deux clics, ils peuvent se connecter à une application) et élimine le besoin de se souvenir d'une nouvelle combinaison pseudo/mot de passe. D’un point de vue technique, le souci (du point de vue de l’utilisateur) avec Facebook Login est qu’il s’agit d’un des moyens dont les développeurs tiers se servent pour recueillir des données d’analyse de leur audience. Ces dernières sont transmises au réseau social et ce dernier donne certains droits d’accès au développeur derrière une application qui s’appuie sur Facebook Login. C’est probablement ce qui explique que l’éditeur n’en fasse pas mention au sein de la politique de confidentialité.

En fait, c’est à peu près le même problème qui revient avec cette fonctionnalité. En effet, un professeur de l’université de Cambridge du nom d’Aleksandr Kogan a, en 2015, créé une application appelée « thisisyourdigitallife » qui s’appuyait sur Facebook Login. Quelque 270 000 personnes (non informées de la transmission de leurs données personnelles vers les serveurs de Facebook) avaient fait usage de Facebook Login pour créer des comptes sur son application. Trois ans plus tard, le scandale Cambridge Analytica éclatait, révélant la divulgation des données personnelles d’une cinquantaine de millions d’utilisateurs du réseau social (Facebook). Depuis l’affaire Cambridge Analytica, les responsables du réseau social auraient restreint le niveau de détail des informations personnelles dont un développeur qui utilise Facebook Login peut bénéficier. Il n’en demeure pas moins qu’en faire usage implique un transfert de données personnelles vers les serveurs de Facebook.

L’éditeur de l’application de vidéoconférence Zoom a procédé au retrait du code du SDK de Facebook suite aux signalements. Il n’en demeure pas moins que pour Robert Cullen (l’auteur de l’action collective), Zoom est, au moment du premier signalement, en violation de la loi californienne sur la protection du consommateur. Ce positionnement (mentionné dans la plainte) est renforcé par le fait que le plaignant souligne que rien ne prouve que l’éditeur de Zoom a obtenu de Facebook qu’il supprime les données à problème. Robert Cullen demande donc des dommages-intérêts en vertu du California Consumer Privacy Act.

L’utilisation de l’application de vidéoconférence a explosé en raison des mesures de confinement en vigueur à cause de la pandémie de coronavirus. Zoom est donc un centre d’intérêt plus important pour les utilisateurs vigilants dont les retours négatifs à propos du service commencent à faire tas. L'un des pus récents est que Zoom ne supporterait pas le chiffrement de bout en bout, ce qui donnerait aux responsables du service la capacité d’espionner les réunions privées.

Source : plainte (PDF)

Et vous ?

Qu’en pensez-vous ?
L’éditeur de Zoom a-t-il utilisé la fonctionnalité Facebook Login en espérant que la collecte des données passerait sous les radars ?

Voir aussi :

Facebook a développé une app mobile de reconnaissance faciale qui permettait d'identifier ses employés et leurs amis, en pointant le téléphone dans leur direction
Twitter permet maintenant d'utiliser l'authentification à deux facteurs sans numéro de téléphone, mais il faudra activer la confirmation via une application pour continuer à profiter de 2FA
Google va payer 1,5 million de dollars pour les exploits les plus critiques sur Android, dans le cadre de son programme Android Security Rewards
Facebook teste le mode concurrent, un ensemble de nouvelles fonctionnalités qui aident les apps React à rester réactives et à s'adapter de façon fluide aux capacités et au débit réseau de l'appareil
USA : deux anciens employés de Twitter accusé d'avoir profité de leur position dans la structure pour espionner des opposants au régime saoudien

[vanquish]

[B][SIZE=4]
Pour qu'une réunion Zoom soit chiffrée de bout en bout, le contenu vidéo et audio devrait être chiffré de telle sorte que seuls les participants à la réunion aient la possibilité de la déchiffrer. Le service Zoom lui-même pourrait avoir accès au contenu de la réunion chiffré, mais n'aurait pas les clés de déchiffrement nécessaires pour le déchiffrer (seuls les participants à la réunion auraient ces clés) et, par conséquent, n'aurait pas la capacité technique d'écouter les réunions privées.

En même temps, quand j'ai à l'écran 25 vignettes vidéo, avec mon ADSL faiblard, je me doute que je ne reçois pas les 25 flux vidéo dans leur résolution d'origine.
Ce système fonctionne incroyablement bien, même à 50 sur une connexion 4 Mb/s.
Pour arriver à ce résultat, nul doute qu'un travail est fait sur les vidéos au niveau du serveur avant leur re-dispatchage vers les différents clients, ce qu'interdirait un chiffrement de bout en bout.

[walfrat]

L'autre solution serait que le système détecte la plus faible connexion et force donc la résolution des flux vidéos et audio a y correspondre avant de chiffrer de bout en bout.
Ce qui n'est déjà pas très pratique et signifie que si un seul participant à des problèmes de connexion, ça devient un problème général pour tout le monde.


Bref comme d'hab, on peut pas tout avoir.

[Bill Fassinou]

Zoom divulguerait les adresses mail et photos des utilisateurs
et permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus

À l’heure où l’épidémie du Covid-19 force la plus grande expérience de télétravail au monde, certaines applications devant permettre ce mode de travail ne semblent pas totalement préparées à un changement aussi radical dans la société. Zoom, l’une des applications de visioconférence qui ont vu leur popularité explosée depuis le début de la crise, affiche à présent des failles de sécurités graves. Selon le rapport du média américain, Zoom divulguerait les informations personnelles des utilisateurs, notamment leurs adresses mails, leurs photos, etc.

Zoom est un outil de visioconférence développée par l’entreprise américaine Zoom Video Communication. Selon un récent rapport, Zoom divulguerait apparemment les adresses mail et photos des utilisateurs. Il permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus à cause de la façon dont l’entreprise gère les contacts. Cela fait en sorte que l'application perçoit certains utilisateurs comme étant des travailleurs de la même organisation. La faille de sécurité réside au niveau du paramètre “Annuaire d’entreprise” de Zoom.

Il ajoute automatiquement d'autres personnes aux listes de contacts d'un utilisateur si elles se sont inscrites avec une adresse électronique qui partage le même domaine. L'idée est de faciliter la recherche d'un collègue spécifique à joindre si le domaine appartient à une entreprise individuelle. Mais plusieurs utilisateurs de Zoom disent s'être inscrits avec des adresses électroniques personnelles, et Zoom les a regroupées avec des milliers d'autres personnes comme s'ils travaillaient tous pour la même entreprise, exposant leurs informations personnelles les uns aux autres.

Cela signifie qu'un utilisateur concerné peut voir les adresses e-mail personnelles et les photos des personnes ayant le même domaine dans son annuaire d'entreprise, même si aucune de ces personnes n'est en fait un collègue. Actuellement, les analystes ne savent pas dans quelle mesure ce problème est répandu ni combien de domaines peuvent être concernés. Toutefois, le rapport contient comme illustration une capture d’écran d’un compte utilisateur avec 995 comptes dans son annuaire d'entreprise. Le concerné a indiqué certains domaines avec lesquels il a eu le problème.

Il a déclaré avoir rencontré le problème avec les domaines xs4all.nl, dds.nl et quicknet.nl. Il s’agit de domaines de messageries électroniques qui appartiennent tous à des fournisseurs d’accès néerlandais. « J'ai été choqué par cela ! Je me suis abonné (avec un pseudonyme, heureusement) et j'ai vu 995 personnes qui me sont totalement inconnues avec leurs noms, images et adresses mail », a déclaré Barend Gehrels, l’utilisateur de Zoom qui a été touché par le problème et qui l'a signalé dans un mail envoyé à Vice. Zoom aurait déjà résolu le problème.

Il a ajouté que sa partenaire avait le même problème avec un autre fournisseur de messagerie et qu'elle avait plus de 300 personnes listées dans ses propres contacts. « Si vous vous abonnez à Zoom auprès d'un fournisseur non standard (je veux dire, pas Gmail ou Hotmail ou Yahoo, etc.), alors vous obtenez un aperçu de tous les utilisateurs abonnés de ce fournisseur : leurs noms complets, leurs adresses e-mail, leur photo de profil (s'ils en ont) et leur statut. Et vous pouvez les appeler par vidéo », a déclaré Gehrels dans son courrier électronique.

D’après le rapport, d’autres utilisateurs ont déclaré sur Twitter avoir rencontré le même problème avec d’autres fournisseurs d’accès Internet néerlandais (FAI). Le FAI néerlandais XS4ALL a tweeté en réponse à une plainte déposée dimanche : « C'est quelque chose que nous ne pouvons pas désactiver. Vous pourriez voir si Zoom peut vous aider à ce sujet ». De son côté, Zoom a déclaré avoir mis ces domaines sur une liste noire après avoir été averti du problème. « Zoom maintient une liste noire de domaines et identifie régulièrement de manière proactive les domaines à ajouter », a déclaré un porte-parole de Zoom.

Il possède également une page où les utilisateurs peuvent demander qu’un domaine soit mis sur liste noire. Zoom a un bilan mitigé en matière de sécurité. En juillet dernier, un chercheur en sécurité a découvert qu'un site Web malveillant pouvait ouvrir un appel vidéo de Zoom sur des Macs sans l'autorisation d'un utilisateur. La société a rapidement mis à jour son logiciel et a désinstallé un serveur Web local qui a créé la vulnérabilité. Check Point Research a publié en janvier un rapport sur une faille qui aurait permis aux pirates d'écouter les appels.

Par ailleurs, Zoom a récemment confirmé que ses appels vidéo ne sont pas réellement cryptés de bout en bout, malgré ce que son site Web prétend. La semaine dernière, Zoom a mis à jour la version iOS de son application lorsqu’il a été signalé qu'elle envoyait des données analytiques à Facebook. Lundi, un utilisateur a intenté une action collective contre Zoom pour le transfert de données. Le même jour, le procureur général de New York a envoyé une lettre à Zoom pour lui demander quelles mesures de sécurité la société avait mises en place, l'application ayant connu une montée en flèche de sa popularité.

Source : Fonctionnalité "Annuaire d'entreprise"

Et vous ?

Qu'en pensez-vous ?

Voir aussi

En Chine, le coronavirus force la plus grande expérience de travail à domicile au monde, le télétravail semble être la seule solution dont disposent les entreprises

Les réunions sur Zoom ne supportent pas le chiffrement de bout en bout. Zoom a donc la capacité technique d'espionner les réunions vidéo privées

Ordinateurs Mac : une faille de sécurité zero-day a été détectée sur le logiciel zoom et pourrait permettre aux sites Web de détourner la caméra

[miaous]

En même temps, quand j'ai à l'écran 25 vignettes vidéo, avec mon ADSL faiblard, je me doute que je ne reçois pas les 25 flux vidéo dans leur résolution d'origine.
Ce système fonctionne incroyablement bien, même à 50 sur une connexion 4 Mb/s.
Pour arriver à ce résultat, nul doute qu'un travail est fait sur les vidéos au niveau du serveur avant leur re-dispatchage vers les différents clients, ce qu'interdirait un chiffrement de bout en bout.

Tu peux le faire si tu divise le flux avant chiffrement en 2/3 partie, et tu peux ne renvoyer que la partie principale.

[Bill Fassinou]

Un ancien hacker de la NSA découvre une faille dans Zoom permettant de prendre le contrôle des Mac, notamment la webcam, le micro et l'accès root,
Elon Musk interdit à ses employés de l’utiliser

La popularité de Zoom est montée en flèche depuis le début de la pandémie du Covid-19, mais beaucoup de choses semblent le rattraper à présent. Les découvertes de failles de sécurité graves se multiplient et Zoom commence par être déprécié par certains patrons de la Tech et d’autres interdisent déjà son utilisation au sein de leurs organisations. Elon Musk vient de le faire. Pendant ce temps, un ex-hacker de la NSA découvre une nouvelle faille de sécurité dans Zoom servant à prendre le contrôle des Mac, en particulier la webcam, le micro et l'accès "root".

Depuis le début de l’année, Zoom a gagné une importante part de marché dans la nouvelle expérience de télétravail forcée par la propagation du Covid-19. Cela a fait en sorte que les chercheurs en sécurité se sont intéressés de plus près aux pratiques de Zoom en matière de sécurité et de confidentialité. Mais, le résultat de cette attention va de plus en plus en défaveur de Zoom qui voit sa cote de popularité chuter à nouveau. Un ex-hacker de la NSA, Patrick Wardle, a montré qu’il est toujours possible d’attaquer un Mac à distance et de le contrôler totalement.

Plus précisément, ce dernier a découvert deux nouveaux bogues qui permettent aux pirates de prendre le contrôle de votre Mac, notamment la webcam, le microphone, et même l'accès root complet. Ce type de problème a déjà été observé au sein de Zoom l’été dernier, mais Zoom a annoncé avoir déployé un correctif pour résoudre le problème. Wardle a découvert qu'un attaquant local avec des privilèges d'utilisateur de bas niveau peut injecter du code malveillant dans l'installateur de Zoom pour obtenir le plus haut niveau de privilèges d'utilisateur, l'accès root.

Une fois cette faille exploitée, l'attaquant peut obtenir et maintenir un accès persistant aux entrailles de l'ordinateur de la victime. Cette action lui permet d'installer des logiciels malveillants ou des logiciels espions. Tout ceci se passe sans que la victime s'en aperçoive. Le second bogue découvert par Wardle exploite une faille dans la manière dont Zoom gère la webcam et le microphone sur les Mac. Zoom, comme toute application nécessitant une webcam et un microphone nécessite en premier lieu le consentement de l'utilisateur.

Mais, selon Wardle, un attaquant peut injecter un code malveillant dans Zoom pour le piéger et lui donner le même accès à la webcam et au microphone que celui dont dispose déjà Zoom. Il a réussi à faire charger son code malveillant par Zoom. « Le code hérite automatiquement d'une partie ou de la totalité des droits d'accès de Zoom », a-t-il déclaré. Selon lui, cela inclut l'accès de Zoom à la webcam et au microphone. « Aucune invite supplémentaire ne sera affichée, et le code injecté a pu enregistrer arbitrairement des données audio et vidéo », a-t-il ajouté.

Cela nous amène à la situation actuelle. Les nouvelles découvertes de Wardle en matière de bogues signifient que les Mac sont à nouveau vulnérables à la prise de contrôle des webcams et des micros, en plus de l’accès root d'un Mac. Zoom devra vite réagir pour corriger ces problèmes alors que son logiciel commence à être déprécié. « Si vous vous souciez de votre sécurité et de votre vie privée, vous devriez peut-être arrêter d'utiliser Zoom », a-t-il écrit dans un article de blogue détaillant ce qu’il a trouvé. Elon Musk et la NASA n’ont pas hésité à interdire Zoom.

Selon Reuters, Musk a adressé une note de service aux employés de SpaceX, sa société de fusée, leur demandant d’arrêter d’utiliser Zoom en raison des soucis liés à sa sécurité. L’entreprise a indiqué à ses employés le 28 mars que tous les accès à Zoom concernant la société avaient été désactivés avec effet immédiat. « Nous comprenons que beaucoup d'entre nous utilisaient cet outil pour des conférences et des réunions », a déclaré SpaceX dans sa note. « Veuillez utiliser le courrier électronique, le texte ou le téléphone comme autres moyens de communication ».

La NASA, l'un des plus gros clients de SpaceX, interdit également à ses employés d'utiliser Zoom, a déclaré Stephanie Schierholz, porte-parole de l'agence spatiale américaine. Selon Reuters, lundi dernier, le bureau de Boston du FBI a émis un avertissement à propos de Zoom, disant aux utilisateurs de ne pas rendre publiques les réunions sur le site ou de partager largement les liens après avoir reçu deux rapports d'individus non identifiés envahissant les sessions scolaires, un phénomène connu sous le nom de “zoombombing”.

Il s’est également avéré la semaine dernière que Zoom ne supporte pas le chiffrement de bout en bout pour ses appels, alors que le site de la société disait le contraire. Zoom s’est ensuite excusé pour cela. « Nous voulons commencer par nous excuser pour la confusion que nous avons causée en suggérant à tort que les réunions de Zoom étaient capables d'utiliser un chiffrement de bout en bout », a déclaré Zoom dans un article de blog. « Zoom s'est toujours efforcé de chiffrer le contenu pour le protéger dans le plus grand nombre de scénarios possible, et dans cet esprit, nous avons utilisé le terme de chiffrement de bout en bout ».

Enfin, la société a également déclaré qu'elle chiffre tout le contenu des réunions Zoom où tout le monde utilise l'application Zoom et où les sessions ne sont pas enregistrées. Elle a déclaré qu'elle était actuellement incapable de chiffrer le contenu lorsque les utilisateurs se connectent en utilisant d'autres appareils. Toutefois, en attendant que Zoom corrige ces problèmes, la société risque de perdre énormément d’utilisateurs au profit des solutions concurrentes.

Sources : Patrick Wardle, Reuters

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Les réunions sur Zoom ne supportent pas le chiffrement de bout en bout. Zoom a donc la capacité technique d'espionner les réunions vidéo privées

Zoom divulguerait les adresses mail et photos des utilisateurs et permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus

Ordinateurs Mac : une faille de sécurité zero-day a été détectée sur le logiciel zoom et pourrait permettre aux sites Web de détourner la caméra

En Chine, le coronavirus force la plus grande expérience de travail à domicile au monde, le télétravail semble être la seule solution dont disposent les entreprises

[Stan Adkens]

Zoom annonce un gel des fonctionnalités pendant 90 jours pour résoudre les problèmes de confidentialité et de sécurité,
alors que l’application a atteint 200 millions d’utilisateurs quotidiens

L'application de vidéoconférence Zoom est devenue un moyen très populaire de rester en contact pour un monde de plus en plus isolé pendant la pandémie de coronavirus, tant pour des réunions personnelles que professionnelles. En même temps Zoom a été confronté à de nombreux problèmes de sécurité et de confidentialité ces dernières semaines, en raison de l'augmentation massive et imprévue de son utilisation, alors que le nombre de réunions en ligne augmente. Pour redonner confiance à ses utilisateurs, l’entreprise a publié un article de blog dans lequel elle s'est excusée pour les « problèmes imprévus » et a promis d'améliorer la situation.

L’application Zoom, destinée aux professionnels, comptait en décembre 2019 une dizaine de millions d'utilisateurs quotidiens. Mais en faveur de la pandémie du coronavirus, le service auparavant méconnu du grand public a connu une croissance fulgurante de ses utilisateurs multipliant par 20 le nombre pour atteindre 200 millions de personnes utilisant Zoom quotidiennement, d’après le PDG de Zoom, Eric S. Yuan. « En mars de cette année, nous avons atteint plus de 200 millions de participants aux réunions quotidiennes, qu'elles soient gratuites ou payantes », déclare Yuan.

« Notre plateforme a été conçue principalement pour les entreprises », explique Yuan. « Nous n'avons pas conçu le produit en pensant que, dans quelques semaines, chaque personne dans le monde travaillerait, étudierait et socialiserait soudainement à partir de chez elle. Nous avons maintenant un ensemble beaucoup plus large d'utilisateurs qui utilisent notre produit d'une myriade de façons inattendues, nous présentant des défis que nous n'avions pas prévus lors de la conception de la plateforme », lit-on dans l’article.

Ce faisant, l’entreprise fait désormais face à deux défis : le défi que représente la prise en charge de 200 millions d'utilisateurs journaliers, contre seulement 10 millions il y a quelques mois, mais aussi les problèmes de confidentialité et de sécurité qui ont été découverts récemment. Pour face à ces défis, Zoom gèle désormais ses mises à jour de fonctionnalités et se concentre plutôt sur ces problèmes.

« Au cours des 90 prochains jours, nous nous engageons à consacrer les ressources nécessaires pour mieux identifier, traiter et résoudre les problèmes de manière proactive », explique Yuan. « Nous nous sommes également engagés à faire preuve de transparence tout au long de ce processus ». Le PDG et fondateur de Zoom explique également comment l'entreprise a réagi à une augmentation massive du nombre d'utilisateurs et a promis de les résoudre.

Des problèmes révélés dans Zoom ces dernières semaines

Cette semaine, Patrick Wardle, un ex-hacker de la NSA, a découvert une nouvelle vulnérabilité qui permet aux pirates de prendre le contrôle de votre Mac, notamment la webcam, le microphone, et même l'accès root complet. Ce type de problème avait déjà été observé au sein de Zoom l’été dernier, mais Zoom avait annoncé avoir déployé un correctif pour résoudre le problème. Wardle a découvert qu'un attaquant local avec des privilèges d'utilisateur de bas niveau peut injecter du code malveillant dans l'installateur de Zoom pour obtenir le plus haut niveau de privilèges d'utilisateur, l'accès root.

Pas plus tard qu’hier, les chercheurs ont détaillé deux nouveaux bogues de sécurité découverts dans l'application Zoom. Le client Windows de Zoom perdait ses informations d'identification réseau, car l'application rendait les chemins d'accès aux fichiers UNC cliquables dans les fenêtres de discussion de groupe. Un rapport de The Intercept a également critiqué les pratiques de confidentialité de l’application de vidéoconférence pour avoir prétendument trompé les utilisateurs sur le chiffrement de bout en bout de la plateforme. Mais Zoom a fini par admettre que l'E2E n'est actuellement pas possible pour les réunions vidéo de Zoom et utilise plutôt le chiffrement TLS (Transport Layer Security).

Un autre problème auquel Zoom est confronté est la façon dont les nouveaux utilisateurs partagent les liens de réunions et de classes en ligne. Cette semaine, la division du FBI à Boston a mis en garde les écoles contre deux cas de "zoom-bombes" par des inconnus dans des salles de classe en ligne de deux lycées différents du Massachusetts. Selon le rapport du FBI Boston, dans un premier cas, un inconnu a crié des injures et a cité l'adresse du domicile de l'enseignant. Dans l'autre, le pirate informatique était visible par les élèves.

Le FBI a mis en garde les écoles contre le fait de rendre publiques des réunions ou des salles de classe et les a incitées à exiger un mot de passe pour les réunions. De plus, il leur a déconseillé de partager des liens vers des salles de classe sur des sites de médias sociaux accessibles au public.

Ces problèmes ont poussé certaines organisations à ne plus utiliser Zoom. SpaceX, qui a reconnu qu'un grand nombre de ses 6 000 employés avaient utilisé Zoom pour des réunions, a maintenant demandé à tous ses employés d'utiliser plutôt le courrier électronique, les SMS ou le téléphone en raison de « graves problèmes de confidentialité et de sécurité », selon un mémo vu par Reuters. L'agence spatiale américaine NASA a également interdit à ses employés d'utiliser Zoom.

Zoom a publié des correctifs de certains problèmes de sécurité signalés

Zoom a déjà pris des mesures pour répondre aux critiques qui lui ont été adressées. Eric Yuan, a souligné dans son article que l'entreprise avait publié une correction du problème des liens UNC dans le client Windows. Yuan dit également avoir publié des correctifs pour les problèmes MacOS signalés par Wardle. En outre, la société a supprimé la fonction de suivi de l'attention des participants et a supprimé le navigateur de vente de LinkedIn dans Zoom, qui, selon elle, divulguait inutilement des données.

L'entreprise a aussi mis à jour sa politique de confidentialité, retiré le SDK Facebook de son application iOS et tenté de résoudre le problème du "zoombombing". Yuan s'est excusé pour la confusion autour de son E2E, et nié avoir construit un mécanisme pour déchiffrer les réunions en direct à des fins d'interception légale.

Gel immédiat des mises à jour fonctionnalité et concentration sur les questions de sécurité et de confidentialité de Zoom

Selon le PDG de Zoom, toutes les ressources d'ingénierie de l’entreprise seront désormais consacrées aux questions de sécurité et de confidentialité, et la société prévoit un « examen complet » avec des tiers pour s'assurer qu'elle traite correctement la sécurité de ces nouveaux cas de consommateurs. Zoom s'engage également à publier un rapport de transparence afin de faire connaître le nombre de demandes de données d'utilisateurs émanant des forces de l'ordre et des gouvernements.

L’entreprise va « améliorer » également son programme de prime aux bogues, en consultant d'autres responsables de la sécurité de l'information dans l'industrie et en utilisant des tests d’intrusion pour identifier d'autres bogues de sécurité. À partir de la semaine prochaine, Yuan organisera un webinaire hebdomadaire, le mercredi, pour fournir des mises à jour sur la sécurité et la protection de la vie privée à la communauté Zoom.

Un chercheur en sécurité a apprécié la réponse de Zoom aux préoccupations de sécurité et confidentialité soulevées par les chercheurs et les utilisateurs :

D'autres meilleures alternatives à Zoom pour la vidéoconférence

Si des nouvelles récentes vous ont rendu hésitant à utiliser Zoom, ou si vous êtes dans l’attente que Zoom apporte des correctifs de sécurité et de confidentialité avant de l’utiliser à nouveau pour vos réunions ou vos classes en ligne, d'autres applications de vidéoconférence sont disponibles. Ces applications, ci-dessous, ont des versions gratuites et certaines offrent un accès temporaire à des fonctionnalités supplémentaires pour ceux qui travaillent actuellement à domicile ou qui souhaitent consulter leurs amis et leur famille en ligne.

La liste comprend des applications plus générales qui vous permettent de participer sans avoir à vous inscrire à l'application (à moins que vous ne soyez l'hôte), et exclut des applications comme Facebook, WhatsApp et FaceTime, qui vous permettent également de faire des chats vidéo, mais elles exigent soit que tous les participants soient membres (Facebook, WhatsApp), soit que vous utilisiez un type de dispositif spécifique (FaceTime, qui est réservé à Apple).

Il y a Skype avec sa fonction de vidéoconférence "Meet Now", Cisco Webex, Starleaf, Jitsi Meet, Slack et Microsoft Teams. Toutefois on est tenté de se demander comment Zoom est devenu le choix populaire depuis le début de l’année alors qu'il existe ces nombreuses alternatives. Plusieurs commentateurs répondent à cette question par « la facilité d’utilisation » de Zoom. « Oui, c'est essentiellement la facilité d'utilisation et aussi une faible barrière d'entrée. Tout le monde peut ouvrir un compte et le plan gratuit permet d'accueillir jusqu'à 100 participants », a écrit l’un d’entre eux. Et vous, à cause de la facilité d’utilisation, continuerez-vous à faire vos réunions sur Zoom malgré les préoccupations de confidentialité et sécurité ?

Sources : Zoom, FBI Boston, Tweet

Et vous ?

Que pensez-vous de la réponse de Zoom aux problèmes de sécurité et de confidentialité ?
Êtes-vous utilisateur de Zoom ? Pourquoi préférez-vous cette application ?
Allez-vous continuer à l’utiliser ou avez-vous opté pour une autre application à cause des problèmes de sécurité ?

Lire aussi

Les réunions sur Zoom ne supportent pas le chiffrement de bout en bout, Zoom a donc la capacité technique d'espionner les réunions vidéo privées
Un ancien hacker de la NSA découvre une faille dans Zoom permettant de prendre le contrôle des Mac, notamment la webcam, le micro et l'accès root, Elon Musk interdit à ses employés de l'utiliser
Microsoft sous pression pour améliorer la vidéo de Teams afin d'empêcher les clients de basculer vers Zoom, la vue 2×2 actuelle ne convenant plus alors que le nombre de réunions en ligne augmente
Zoom divulguerait les adresses mail et photos des utilisateurs, et permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus

[Olivier Famien]

Le responsable technique de VMRay dévoile comment l'application Zoom s'installe sur votre macOS sans que vous ayez cliqué sur le bouton « installer »,
une pratique louche utilisée par de véritables malwares, selon le responsable

Depuis que le monde est passé en mode confinement, les individus, les entreprises et même les établissements éducatifs se sont massivement tournés vers les applications de travail à distance pour continuer leurs activités. Parmi ces applications, Zoom est le service de vidéoconférence qui fait le plus parler de lui depuis que les hommes et les femmes sont contraints de rester à domicile en attendant la fin de la crise sanitaire.

VMRay, une entreprise de sécurité informatique, n’a pas fait exception à la règle et a également demandé à son équipe d’installer Zoom afin de continuer ses activités professionnelles. Felix Seele, responsable technique chez VMRay, a donc installé Zoom sur son ordinateur Mac. Comme pour toutes les installations d’un programme sur macOS, lorsque vous cliquez sur le paquet pkg, le système avertit l’utilisateur qu’il effectuera des vérifications pour déterminer si le logiciel peut être installé, comme l’image ci-dessous le montre.

En cliquant sur le bouton « Continuer », vous serez dirigé sur une autre fenêtre pour valider l’emplacement de l’installation. Après cette étape, vous serez dirigé vers la fenêtre d’installation et lorsque vous cliquerez sur le bouton de validation, l’installation à proprement parler débutera. En principe si vous avez suivi correctement toutes les étapes jusqu’à la fin, Zoom devrait s’installer sur votre système sans problème.

Toutefois, Seele souligne que si vous avez cliqué sur le bouton « Continuer » qui apparaît sur la fenêtre qui annonce que macOS vérifiera si le logiciel peut être installé, et que vous abandonnez l’installation, le programme s’installe quand même. Seele explique que ce que vous devez savoir, c’est que dès que vous cliquez sur le bouton apparaissant sur l’image ci-dessus, au lieu de ne faire que des vérifications de préinstallation, le programme d’installation de Zoom effectue toute l’installation du programme.

Pour mieux comprendre ce qui se passe sous le capot, Seele qui s’est penché sur cette anomalie, rapporte qu’en fait l’entreprise Zoom abuse des scripts de préinstallation pour installer l’application avant même qu’il ait été demandé à l’utilisateur d’installer le programme. Pour ce faire, le programme utilise 7zip qui est intégré au paquet du programme pour décompresser manuellement l’application une fois que l’utilisateur clique sur le bouton pour confirmer la vérification d’avant installation. Ensuite, l’application décompressée est installée à l’aide d’un script dans le répertoire /Applications.

Si l’utilisateur est dans le groupe Admin, ce qui est vrai dans la plupart des cas, et si l’utilisateur n’est pas limité par le service informatique de l’entreprise, des privilèges élevés (« root ») ne sont pas requis pour installer l’application dans le répertoire par défaut / Applications. Si par contre l’utilisateur n’a pas les droits appropriés pour écrire dans le répertoire par défaut /Applications et que le client Zoom n’est pas déjà installé, l’application sera copiée dans le répertoire d’application local à l’emplacement suivant : /Users /<username>/Applications.

Enfin, si le client Zoom est déjà installé dans / Applications, mais que l’utilisateur en cours n’a pas le droit de le mettre à jour, le script lancera un outil d’aide appelé « zoomAutenticationTool » (sic) qui fait également partie du fichier pkg. Cet outil utilise la fameuse et obsolète API système AuthorizationExecuteWithPrivileges() pour afficher une invite de mot de passe afin d’exécuter le script « runwithroot » également fourni avec les privilèges root.

Il n’est pas rare que les applications macOS demandent temporairement des privilèges root, par exemple, pour installer un service persistant ou démarrer un outil d’assistance privilégié. Cependant, Seele souligne que dans ce cas, le programme d’installation de Zoom remplace le message affiché dans l’invite de mot de passe. Au lieu d’afficher un message de type « Zoom a besoin de votre mot de passe pour mettre à jour l’application existante », il utilise le message : « Le système a besoin de vos privilèges pour changer » (sic). Cela donne l’impression que le système d’exploitation demande le mot de passe de l’utilisateur alors qu’il s’agit en fait du programme d’installation de Zoom. Cette attitude est trompeuse dans tous les cas de figure mentionnés. Pour Seele, c’est un cas clair de « bonnes applications qui se comportent mal ».

En principe, lorsqu’un utilisateur ouvre le fichier pkg, il s’attend à donner son consentement avant l’installation. Au lieu de cela, Zoom effectue cette opération instantanément sans autre confirmation. Pour Seele, l’on peut comparer cette situation à un conducteur qui met la clé de la voiture dans le contact, mais au lieu que la radio s’allume et que le moteur démarre, la voiture commence à rouler toute seule. Selon le responsable technique, le second problème, plus grave, est l’invite de mot de passe. Pour Seele, Zoom usurpe l’identité du système pour tromper l’utilisateur avec la technique du « social-engineering » afin qu’il entre son mot de passe dans le champ affiché. Même si Zoom ne capture pas le mot de passe en texte brut, mais demande juste « l’autorisation » du système d’exploitation pour exécuter quelque chose en tant que root, c’est une pratique louche utilisée par de véritables logiciels malveillants macOS (comme Coldroot et Proton) qui prétendent souvent être un processus Apple.

Après avoir découvert ces incohérences, Seele a averti les utilisateurs de Zoom sur Twitter. Cela a fait réagir Eric S. Yuan, le fondateur et CEO de Zoom, qui déclara ceci : « Merci pour votre avis ! Nous avons mis cela en œuvre pour équilibrer le nombre de clics compte tenu des limites de la technologie standard. Rejoindre une réunion à partir d’un Mac n’est pas facile, c’est pourquoi cette méthode est utilisée par Zoom et d’autres. Votre point est bien compris et nous continuerons de nous améliorer ».

Source : Twitter, VMRay

Et vous ?

Utilisez-vous Zoom ? Avez-vous déjà été confronté à des pratiques dans l’application qui vous ont dérangés du point de vue de la sécurité ?

Que pensez-vous de cette découverte ? De quoi remettre en cause l’utilisation de Zoom ?

Que pensez-vous des arguments du CEO de Zoom pour justifier la mauvaise implémentation du processus d’installation de Zoom ? Sont-ils recevables ?

Voir aussi

L’éditeur de l’application de vidéoconférence Zoom poursuivi en justice pour avoir transmis les données des utilisateurs à Facebook via son SDK « Facebook Login »
L’éditeur de l’application de vidéoconférence Zoom retire le code du SDK Facebook de la version iOS, car celui-ci transférait les données des utilisateurs vers le réseau social
Les applications de téléconférence et les nouvelles technologies font l’objet d’une forte demande, dans le contexte de l’épidémie de coronavirus
La préversion publique du client lourd de Microsoft Teams pour Linux est d’ores et déjà disponible, pour les distributions basées sur Debian et Red Hat

[Bill Fassinou]

Certaines clés de chiffrement de Zoom sont transmises aux participants d'une réunion via des serveurs en Chine selon les chercheurs,
Zoom l'admet et s'explique

Zoom est une application de téléconférence dont la popularité a considérablement augmenté, étant donné qu'une grande partie du monde est soumise au travail à domicile. L'objectif global de conception de l'application semble être de réduire les frictions lors de la vidéoconférence et de faire en sorte que les choses fonctionnent « simplement ». La popularité de Zoom est montée en flèche depuis le début de la pandémie du Covid-19, mais beaucoup de choses semblent le rattraper à présent.

Les découvertes de failles de sécurité graves se multiplient et Zoom commence par être déprécié par certains patrons de la Tech et d’autres interdisent déjà son utilisation au sein de leurs organisations. Un ex-hacker de la NSA découvre une nouvelle faille de sécurité dans Zoom servant à prendre le contrôle des Mac, en particulier la webcam, le micro et l'accès "root". Selon des chercheurs de l'Université de Toronto, les réunions sur Zoom sont cryptées à l'aide d'un algorithme présentant des failles de sécurité graves et bien connues, et parfois à l'aide de clés émises par des serveurs en Chine, même lorsque les participants aux réunions se trouvent tous en Amérique du Nord.

Dans sa documentation, Zoom prétend utiliser un chiffrement, mais les chercheurs pensent le contraire

La documentation de Zoom prétend que l'application utilise le chiffrement AES-256 pour les réunions. Cependant, les chercheurs ont constaté que dans chaque réunion sur Zoom, une seule clé AES-128 est utilisée en mode ECB par tous les participants pour chiffrer et déchiffrer l'audio et la vidéo. L'utilisation du mode ECB n'est pas recommandée, car les modèles présents dans le texte en clair sont préservés pendant le chiffrement.

Selon les chercheurs, la documentation de Zoom contient un certain nombre d'affirmations peu claires sur le chiffrement proposé par la plateforme. Certaines documentations de Zoom (ainsi que l'application Zoom elle-même) affirment que Zoom offre une fonctionnalité de chiffrement de bout en bout pour les réunions. Toutefois, pour les chercheurs, le terme « chiffré de bout en bout » signifie que seules les parties à la communication peuvent y accéder (et pas les intermédiaires qui relaient la communication). Une autre documentation de Zoom indique que le logiciel de réunion de Zoom pour Windows, MacOS et Linux utilise par défaut le schéma standard TLS 1.2 pour le chiffrement du transport, bien qu'il semblerait que la plateforme n'utilise pas TLS.

Zoom admet que sa plateforme n'implémente pas actuellement le chiffrement de bout en bout

En réponse à cette confusion, dans un billet de blog a publié le premier avril dernier, Zoom apporte des explications sur son schéma de chiffrement. En gros, le billet de blog précise que Zoom n'implémente pas actuellement le chiffrement « de bout en bout », car pour la plupart des gens, le terme "chiffrement de bout en bout" décrit une situation dans laquelle tous les participants à la conférence (à l'exception de ceux qui se connectent via le réseau téléphonique public commuté) sont tenus d'utiliser le chiffrement de transport entre leurs appareils et les serveurs Zoom.

Pour les chercheurs, la définition de "chiffrement de bout en bout" de Zoom ne semble pas être une définition standard, même dans le domaine des solutions de vidéoconférence d'entreprise parce que Zoom n'implémente pas un véritable chiffrement de bout en bout, ils ont la capacité théorique de déchiffrer et de surveiller les appels Zoom. Néanmoins, Zoom mentionne qu'ils n'ont pas construit de mécanisme pour intercepter les réunions de leurs clients.

Zoom envoie certaines clés de chiffrement via des serveurs en Chine

Les clés AES-128, dont les chercheurs disent avoir vérifié qu'elles sont suffisantes pour déchiffrer les paquets Zoom interceptés dans le trafic Internet, semblent être générées par les serveurs Zoom et, dans certains cas, sont remises aux participants d'une réunion Zoom via des serveurs en Chine, même lorsque les participants des réunions sont en dehors de la Chine.

« Lors d'un test d'une réunion Zoom avec deux utilisateurs, l'un aux États-Unis et l'autre au Canada, nous avons constaté que la clé AES-128 pour le chiffrement et le déchiffrement de la conférence avait été envoyée à l'un des participants via TLS à partir d'un serveur Zoom apparemment situé à Pékin. Une analyse montre un total de cinq serveurs en Chine et 68 aux États-Unis qui exécutent apparemment le même logiciel de serveur Zoom. Nous pensons que les clés peuvent être distribuées via ces serveurs », selon les chercheurs.

Le logo de Zoom au-dessus du nom de l'une des entreprises de développement chinoises de Zoom, « Ruanshi Software Ltd.»

Cependant, le PDG de Zoom, Eric S Yuan, a déclaré que le routage des appels US via des serveurs chinois n'est pas la norme et ne s'est produit qu'en raison du trafic élevé. « Pendant les opérations normales, les clients Zoom tentent de se connecter à une série de centres de données principaux dans ou à proximité de la région d'un utilisateur, et si ces multiples tentatives de connexion échouent en raison d'une congestion du réseau ou d'autres problèmes, les clients atteindront deux centres de données secondaires à partir d'une liste de plusieurs centres de données secondaires comme pont de sauvegarde potentiel vers la plate-forme Zoom. Dans tous les cas, les clients Zoom reçoivent une liste de centres de données appropriés à leur région. Ce système est essentiel à la fiabilité des marques de Zoom, en particulier en cette période ».

Zoom, une société basée dans la Silicon Valley, semble détenir trois sociétés en Chine par le biais desquelles au moins 700 employés sont payés pour développer le logiciel Zoom. Ce serait apparemment un effort de Zoom pour éviter de payer des salaires aux Américains lors de la vente à des clients américains, augmentant ainsi leur marge bénéficiaire. Cependant, cela peut rendre Zoom sensible aux pressions des autorités chinoises.

Le procureur général de New York envoie une demande d'explication à Zoom

Lundi, le procureur général de New York, Letitia James, a envoyé une lettre à la société lui demandant de décrire les mesures qu'elle avait prises pour répondre aux problèmes de sécurité et s'adapter à l'augmentation du nombre d'utilisateurs. Dans la lettre, James a déclaré que Zoom avait été lent à traiter les failles de sécurité « qui pourraient permettre à des personnes malveillantes, entre autres, d'accéder subrepticement aux webcams ».

Un porte-parole de Zoom a déclaré qu'il prévoyait d'envoyer à James les informations demandées et de se conformer à la demande. « Zoom prend la confidentialité, la sécurité et la confiance de ses utilisateurs très au sérieux. Pendant la pandémie de Covid-19, nous travaillons sans relâche pour garantir que les hôpitaux, les universités, les écoles et les autres entreprises du monde entier puissent rester connectées et opérationnelles », a déclaré le porte-parole.

Sources : Zoom, Citizen Lab

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Un ancien hacker de la NSA découvre une faille dans Zoom permettant de prendre le contrôle des Mac, notamment la webcam, le micro et l'accès root, Elon Musk interdit à ses employés de l'utiliser

Facebook a développé une app mobile de reconnaissance faciale qui permettait d'identifier ses employés et leurs amis, en pointant le téléphone dans leur direction

Twitter permet maintenant d'utiliser l'authentification à deux facteurs sans numéro de téléphone, mais il faudra activer la confirmation via une application pour continuer à profiter de 2FA

Google va payer 1,5*million de dollars pour les exploits les plus critiques sur Android, dans le cadre de son programme Android Security Rewards

Facebook teste le mode concurrent, un ensemble de nouvelles fonctionnalités qui aident les apps React à rester réactives et à s'adapter de façon fluide aux capacités et au débit réseau de l'appareil

[Bill Fassinou]

Le Zoombombing, le fait de s'introduire dans les réunions publiques de Zoom sans y être invité, est un crime, pas une farce,
avertissent les autorités US

Zoom a très vite atteint la barre des 200 millions d’utilisateurs par jour pendant les trois derniers mois où la pandémie du Covid-19 force une bonne partie des travailleurs à exercer en télétravail. Toutefois, ce boom a aussi contribué à exposer au grand jour un nombre considérable de failles de sécurité dont souffre Zoom. L’une d’entre elles, connue sous le nom de Zoombombing, permet aux attaquants de s’introduire dans les appels vidéo d’autres utilisateurs sans y être invités. Pour lutter contre cela, l’État du Michigan a annoncé qu’il considère désormais cela comme un crime.

Le Zoombombing, qu'est-ce que c'est ?

Selon certains analystes, Zoom est actuellement l'application Apple et Android la plus populaire au monde, et son cours a plus que doublé depuis fin janvier, une hausse particulièrement impressionnante si l'on tient compte du krach boursier qui s'est également produit pendant cette période. Mais l’une des menaces qui pourraient le faire totalement plonger est le “Zoombombing”. D’où vient cette faille et comment les pirates l’exploitent-ils ? Cette faille aurait été découverte au même moment que celle qui avait frappé le client Mac de l’application en janvier dernier.

Cette vulnérabilité pouvait pousser les utilisateurs de Mac qui ont (ou ont déjà eu) Zoom installé sur leur appareil à se joindre à des réunions Zoom avec leurs caméras automatiquement activées. Au cours du mois de janvier, la société de cybersécurité Check Point a montré qu’un pirate peut générer facilement des numéros d'identification de réunion actifs, qu'il peut ensuite utiliser pour se joindre aux réunions si celles-ci n'étaient pas protégées par un mot de passe. Zoom a apporté un certain nombre de modifications pour résoudre le problème avec les Mac.

Cependant, la recommandation de Check Point qui demande que les réunions soient protégées par un mot de passe n’a pas été prise en compte par Zoom. Résultat, le Zoombombing a vu le jour et les appels vidéo peuvent rapidement être transformés en séance de visionnage de vidéos peu recommandables. Selon les informations sur le Zoombombing, les réunions publiques de Zoom sont rejointes par un troll qui diffuse des choses comme du porno et des images nazies au reste des participants. La seule façon d’arrêter la diffusion est de couper l’appel.

Il existe des moyens d'atténuer ce problème, comme la protection des réunions par un mot de passe ou la limitation du partage d'écran à l'hôte de la réunion. Mais le fait qu'il soit si facile pour quiconque de se joindre à une réunion publique de Zoom et de la perturber ensuite indique que les développeurs de l’application n'avaient pas prévu que les réunions pouvaient être perturbées à ce point. C’est une chose que toute personne ayant déjà utilisé Internet aurait dû prévoir. Plusieurs procureurs ont saisi Zoom pour savoir comment la société compte arranger la situation.

Le Zoombombing désormais considéré comme un crime dans certains États aux USA

Dans l’heure, d’autres États ont commencé par prendre des mesures pour lutter contre le Zoombombing en attendant que Zoom fasse un effort pour sécuriser au mieux son application. Le Zoombombing est désormais considéré comme un crime dans ces États. Vendredi passé, les procureurs fédéraux du Michigan ont averti le public à travers une déclaration que le Zoombombing n'est pas une plaisanterie bénigne, mais bien évidemment un crime. Les autorités étatiques ont mentionné que la décision découle d’une investigation menée par le FBI pendant la semaine écoulé.

« Les pirates informatiques perturbent les conférences et les salles de classe en ligne avec des images pornographiques et/ou haineuses et un langage menaçant », a déclaré le bureau du procureur américain pour le district Est du Michigan. « Toute personne qui pirate une téléconférence peut être accusée de délits d'État ou fédéraux », a ajouté le bureau. À en croire la note des procureurs, la sanction qui frappera un attaquant qui utilise le Zoombombing sera proportionnelle à la façon dont il s’est introduit dans la réunion et ce qu’il a fait pour la perturber.

Il faut savoir qu’il y a des réunions Zoom dites publiques, ce qui peut rendre difficile l'inculpation d'intrusion informatique. Mais, une personne pourrait quand même être poursuivie pour des choses qu'elle a dites ou faites pour perturber la réunion après l'avoir rejointe. Par ailleurs, il est possible de protéger les réunions grâce à un mot de passe. Cependant, il est totalement déconseillé d'annoncer les informations de connexion sur les médias sociaux ou d'autres canaux publics. La sanction d’une intrusion dans une vidéoconférence privée peut être très sévère.

« Vous trouvez que le Zoombombing est drôle ? Voyons à quel point c'est drôle après votre arrestation », a déclaré Matthew Schneider, avocat américain du Michigan, dans la note du vendredi. « Si vous interférez avec une téléconférence ou une réunion publique dans le Michigan, les forces de l'ordre fédérales, étatiques ou locales pourraient frapper à votre porte », a-t-il ajouté. Les autorités fédérales ont partagé dans la note quelques mesures pouvant être prises pour atténuer les impacts des menaces liées aux téléconférences :

• ne pas rendre les réunions ou les cours publics. Dans Zoom, il existe deux options pour rendre une réunion privée. Exiger un mot de passe pour la réunion ou utiliser la fonction de salle d'attente et contrôler l'admission des invités ;
• ne pas partager un lien menant vers une téléconférence ou une salle de classe dans un poste de média social accessible au public sans restriction. Fournissez directement le lien aux personnes qui sont concernées par la réunion ou par la classe ;
• ne pas gérer les options de partage d'écran dans Zoom, changez le partage d'écran en “Hôte seulement” ;
• s'assurer que les utilisateurs utilisent la version mise à jour des applications d'accès/réunion à distance. En janvier 2020, Zoom a mis à jour son logiciel. Dans cette mise à jour de sécurité, Zoom a ajouté des mots de passe par défaut pour les réunions et a désactivé la possibilité de rechercher aléatoirement les réunions auxquelles on souhaite participer ;
• enfin, assurez-vous que la politique ou le guide de votre organisation en matière de télétravail répond aux exigences de sécurité physique et de sécurité de l'information.

Source : La note des procureurs

Et vous ?

Quel est votre avis sur le sujet ?
Partagez-vous le même point de vue que les procureurs ou pas ? Pourquoi ?

Voir aussi

Zoom annonce un gel des fonctionnalités pendant 90 jours pour résoudre les problèmes de confidentialité et de sécurité, alors que l'application a atteint 200 millions d'utilisateurs quotidiens

Les réunions sur Zoom ne supportent pas le chiffrement de bout en bout. Zoom a donc la capacité technique d'espionner les réunions vidéo privées

Un ancien hacker de la NSA découvre une faille dans Zoom permettant de prendre le contrôle des Mac, notamment la webcam, le micro et l'accès root. Elon Musk interdit à ses employés de l'utiliser

Zoom divulguerait les adresses mail et photos des utilisateurs et permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus

[el_slapper]

ma boite (américaine) vient de proscrire Zoom pour les communications internes. Je suppose que ce n'est pas un hasard. On utilise Teams- mais je ne sais pas si c'est plus sécurisé, ou si les failles ne sont pas encore connues...

[Eric80]

Teams est utlisé depuis un bon moment déjà ds bcp d entreprises, donc il est probable que les failles de sécurités y soient analysées aussi depuis plus longtemps.

Je trouve hallucinant comment zoom est devenue LA plateforme en quelques semaines, et que tout le monde s'y met avec des failles aussi béantes que ce zoombombing.
Preuve que > 80% (à la louche) des utilisateurs ne se soucient guère des pbs de sécurité, car ils n y sont pas initiés.

QQues pistes sur la popularité de Zoom:
https://www.businessinsider.com/zoom...20-3?r=US&IR=T

Avec le renaming de Office 365 en Microsoft 365, Teams devient offert au gd public: probable que le succès de Zoom et surtout le confinement généralisé sont des motivations fortes pour MS de fournir Teams pour tous.

[Olivier Famien]

Zoom poursuivi en justice par un de ses actionnaires pour non-divulgation des problèmes de confidentialité et de sécurité,
la valeur de l’action de l’entreprise connait une baisse

Après l’effervescence dont a bénéficié Zoom à cause des mesures de confinement imposant le travail à distance, les utilisateurs et entreprises ont maintenant commencé à prendre du recul vis-à-vis de cette application de vidéoconférence. La raison, de nombreux problèmes de sécurité et de confidentialité ont été rapportés à maintes reprises.

Au cours du mois de janvier, la société de cybersécurité Check Point a montré qu’un pirate peut générer facilement des numéros d’identification de réunion actifs, qu’il peut ensuite utiliser pour se joindre aux réunions si celles-ci n’étaient pas protégées par un mot de passe. Bien que l’entreprise Zoom ait fait plusieurs recommandations comme utiliser des salles d’attente, des mots de passe, des contrôles d’inhibition ou limiter le partage d’écran, le public a continué à utiliser Zoom sans faire recours à ces mesures de sécurité.

En conséquence, de nombreux cas de zoombombing (intrusion non autorisée dans des réunions de personnes utilisant l’application Zoom à l’effet de les perturber) ont été rapportés. Certains rapports font état de personnes s’introduisant dans des réunions pour y ajouter des vidéos pornographiques. Un journal américain rapporta à la fin du mois passé qu’au cours d’une réunion organisée pour des alcooliques anonymes via l’application Zoom, une voix s’est mise à « proférer des insultes misogynes et antisémites, ainsi que des références à la consommation d’alcool » allant même jusqu’à vanter son goût. Pour freiner ces blagues de mauvais goût, dont les pratiques ne diffèrent en rien des pirates qui s’introduisent sur des systèmes sans autorisation, des procureurs fédéraux du Michigan ont averti le public vendredi dernier en déclarant que le Zoombombing n’est pas une plaisanterie bénigne, mais bien un crime.

En dehors du zoombombing qui préoccupe actuellement les utilisateurs de la plateforme, d’autres problèmes de sécurité ont également été soulevés. La semaine dernière, un ex-hacker de la NSA, Patrick Wardle, a annoncé avoir découvert deux bogues dans l’application Zoom qui permettent à des tiers malveillants de prendre le contrôle d’un ordinateur Mac, notamment la webcam, le microphone, et même l’accès root complet. À la suite de cette découverte, de nombreuses entreprises ont commencé à prendre leur distance par rapport à l’application, y compris Elon Musk, le patron de Tesla et SpaceX et la NSA.

L’application Zoom étant de plus en plus critiquée pour ses problèmes de sécurité, d’autres experts en sécurité ont continué à la disséquer et ont relevé plusieurs problèmes comme le fait que les réunions sur Zoom ne supportent pas le chiffrement de bout en bout, ce qui fait que l’entreprise Zoom pourrait accéder au contenu des réunions réalisées avec son application ou encore que certaines clés de chiffrement de Zoom sont transmises aux participants d’une réunion via des serveurs basés en Chine.

Tous ces problèmes ont poussé des utilisateurs à se retourner contre l’entreprise. La semaine dernière, un utilisateur de Zoom a intenté une action collective contre l’entreprise Zoom Video Communications devant un tribunal de Californie. L’initiative fait suite à des signalements que l’application Zoom pour iOS envoyait des informations d’analytique à Facebook lors de l’ouverture de l’application par les utilisateurs. Consciente du fait qu’elle a beaucoup de choses à corriger dans son application, l’entreprise Zoom s’est mise à travailler pour apporter une réponse aux problèmes de sécurité et de confidentialité qu’on lui reproche. Mais pour l’instant, les actions semblent insuffisantes, car un de ses actionnaires, notamment Michael Drieu, a lancé mardi dernier un recours collectif contre Zoom Video Communications, en accusant l'entreprise d’avoir surévalué ses normes de confidentialité de son application et de n’avoir pas révélé que son service n’était pas chiffré de bout en bout. L’actionnaire Michael Drieu a déclaré dans un dossier judiciaire qu’une série de récents rapports des médias mettant en évidence des failles de confidentialité et de sécurité qui ont conduit à la chute des actions de la société dont la valeur boursière a connu une forte hausse depuis le début de l’année.

Le 27 janvier, une action de Zoom s’échangeait à 70,44 dollars. Elle a ensuite grimpé pour atteindre le pic de 164,50 dollars le 23 mars. Depuis, les scandales ont fait plonger la valeur des actions. Mardi dernier, les actions de la société ont clôturé en baisse de 7,5 % à une valeur de 113,75 dollars. Elles ont perdu près d’un tiers de leur valeur marchande depuis les records atteints à la fin du mois de mars.

La semaine dernière, Eric Yuan, PDG de Zoom, s’est excusé auprès des utilisateurs, affirmant que la société n’avait pas répondu aux attentes de la communauté en matière de confidentialité et de sécurité et qu’elle prenait des mesures pour résoudre les problèmes.

Source : Reuters

Et vous ?

Avec tous ces procès intentés contre Zoom, quels commentaires faites-vous quant à son avenir ?

Pensez-vous que ces problèmes de sécurité et de confidentialité pourraient amener les utilisateurs à abandonner la plateforme, surtout après la reprise normale des activités ?

Voir aussi

Zoom annonce un gel des fonctionnalités pendant 90 jours pour résoudre les problèmes de confidentialité et de sécurité, alors que l’application a atteint 200 millions d’utilisateurs quotidiens
Felix Seele de VMRay dévoile comment Zoom s’installe sur macOS sans que vous ayez cliqué sur le bouton « installer », une pratique louche utilisée par de véritables malwares, selon le responsable
L’éditeur de l’application de vidéoconférence Zoom retire le code du SDK Facebook de la version iOS, car celui-ci transférait les données des utilisateurs vers le réseau social
« Essayez ces outils logiciels libres pour garder le contact », propose la Free Software Foundation comme meilleures alternatives à Zoom qui a mauvaise presse en matière de sécurité
L’éditeur de l’application de vidéoconférence Zoom poursuivi en justice pour avoir transmis les données des utilisateurs à Facebook via son SDK « Facebook Login »

[Axel Lecomte]

Google interdit à ses employés d’utiliser Zoom dans le cadre professionnel,
suite aux scandales de sécurité qui secouent la plateforme de visioconférence

En ces temps de crise sanitaire, les outils de visioconférence sont de plus en plus utilisés par les entreprises et les organisations du monde entier pour les réunions. Si Google possède sa propre plateforme, Meet, la filiale d’Alphabet a constaté que ses employés utilisent de plus en plus Zoom pour travailler et socialiser, alors que l’outil est actuellement critiqué pour ses pratiques de collecte de données.

La semaine dernière, Google a alors envoyé un e-mail à ses employés qui ont installé Zoom dans leur ordinateur portable professionnel, indiquant que le logiciel présente des « vulnérabilités de sécurité » et que celui-ci cesserait de fonctionner sur ces appareils à partir de cette semaine.

« Nous avons depuis longtemps pour politique de ne pas autoriser les employés à utiliser des applications non approuvées pour un travail en dehors de notre réseau d’entreprises », explique Jose Castaneda, porte-parole de Google.

Ainsi, « les employés qui utilisent Zoom pour rester en contact avec leur famille et leurs amis peuvent continuer à le faire via un navigateur Web ou via un mobile », précise-t-il.

D’autres entreprises et organisations ont déjà pris la même décision

Google n’est pas la première société qui a interdit à ses employés d’utiliser la plateforme. Le 28 mars, SpaceX a par exemple envoyé un e-mail à ses employés, indiquant que l’accès à Zoom avait été désactivé et préconisant l’utilisation du courrier électronique, des SMS et de téléphone comme « moyens de communication alternatifs ».

Peu de temps après, Stephanie Schierholz, porte-parole de la NASA, a également déclaré que l’agence spatiale américaine allait emprunter le même chemin. S’ensuivent les déclarations du gouvernement taiwanais, du ministère de la Défense du Royaume-Uni ou de l’opérateur télécom philipin PLDT (Philippine Long Distance Telephone Company).

De son côté, le ministère allemand des Affaires étrangères a déclaré : « sur la base des rapports des médias et de nos propres conclusions, nous avons conclu que le logiciel Zoom présente des faiblesses critiques et de graves problèmes de sécurité et de protection des données ». Le ministère a ainsi décidé de bannir la plateforme de ces ordinateurs à connexion fixe. Il reconnaît toutefois que l’interdiction complète de l’utilisation de Zoom est impossible.

L’enseignement à distance étant préconisé à New York, Danielle Filson, porte-parole du département de l’éducation de la ville, a demandé aux écoles d’abandonner l’utilisation de Zoom « dès que possible » et de se tourner vers Microsoft Teams, qui, selon elle, a les « mêmes capacités avec des mesures de sécurité appropriées en place ». Le gouvernement suisse a également annoncé une mesure similaire, dans le cas où son fournisseur principal Skype Entreprise venait à être surchargé.

Zoom recrute l’ancien chef de la sécurité de Facebook suite à la décision de Google

Alex Stamos, ex-chef de la sécurité chez Facebook, avait récemment publié plusieurs tweets, demandant notamment à Zoom d’être plus transparent et de lancer un plan de sécurité qui va durer 30 jours. Il a ensuite été contacté par Eric Yuan, le fondateur de Zoom, pour devenir consultant externe. « Je suis heureux de vous dire que je vais aider Zoom à mettre en place son programme de sécurité », a alors annoncé Stamos.

Source : Reuters

Et vous ?

Que pensez-vous de cette affaire ?
Selon vous, pourquoi certaines entreprises et organisations décident-elles encore d'utiliser Zoom ?

Voir aussi :

Zoom poursuivi en justice par un de ses actionnaires pour non-divulgation des problèmes de confidentialité et de sécurité, la valeur de l'action de l'entreprise connait une baisse
Zoom annonce un gel des fonctionnalités pendant 90 jours pour résoudre les problèmes de confidentialité et de sécurité, alors que l'application a atteint 200 millions d'utilisateurs quotidiens
Le Zoombombing, le fait de s'introduire dans les réunions publiques de Zoom sans y être invité, est un crime, pas une farce, avertissent les autorités US
Skype introduit « Meet Now », une fonctionnalité de visioconférence sans obligation d'inscription, tout en misant sur certaines failles de sécurité constatées chez son concurrent Zoom
« Essayez ces outils logiciels libres pour garder le contact », propose la Free Software Foundation, comme meilleures alternatives à Zoom qui a mauvaise presse en matière de sécurité

[Stéphane le calme]

Zoom met à jour son logiciel pour améliorer la protection par mots de passe des réunions et des webinaires,
et pour sécuriser les enregistrements sur le cloud

L'application de vidéoconférence Zoom est devenue un moyen très populaire de rester en contact pour un monde de plus en plus isolé pendant la pandémie de coronavirus, tant pour des réunions personnelles que professionnelles. En même temps Zoom a été confronté à de nombreux problèmes de sécurité et de confidentialité ces dernières semaines, en raison de l'augmentation massive et imprévue de son utilisation, alors que le nombre de réunions en ligne augmente.

L’application Zoom, destinée aux professionnels, comptait en décembre 2019 une dizaine de millions d'utilisateurs quotidiens. Mais suite à la pandémie du coronavirus, le service auparavant méconnu du grand public a connu une croissance fulgurante de ses utilisateurs multipliant par 20 le nombre pour atteindre 200 millions de personnes utilisant Zoom quotidiennement, d’après le PDG de Zoom, Eric S. Yuan. « En mars de cette année, nous avons atteint plus de 200 millions de participants aux réunions quotidiennes, qu'elles soient gratuites ou payantes », déclare Yuan.

« Notre plateforme a été conçue principalement pour les entreprises », explique Yuan. « Nous n'avons pas conçu le produit en pensant que, dans quelques semaines, chaque personne dans le monde travaillerait, étudierait et socialiserait soudainement à partir de chez elle. Nous avons maintenant un ensemble beaucoup plus large d'utilisateurs qui utilisent notre produit d'une myriade de façons inattendues, nous présentant des défis que nous n'avions pas prévus lors de la conception de la plateforme », pouvait-on lire dans un billet de blog.

Une occasion de mettre le pied sur de nombreux problèmes

Fin mars, Patrick Wardle, un ex-hacker de la NSA, a découvert une vulnérabilité qui permet aux pirates de prendre le contrôle de votre Mac, notamment la webcam, le microphone, et même l'accès root complet. Ce type de problème avait déjà été observé au sein de Zoom l’été dernier, mais Zoom avait annoncé avoir déployé un correctif pour résoudre le problème. Wardle a découvert qu'un attaquant local avec des privilèges d'utilisateur de bas niveau peut injecter du code malveillant dans l'installateur de Zoom pour obtenir le plus haut niveau de privilèges d'utilisateur, l'accès root.

Début avril, des chercheurs ont donné des détails sur deux nouveaux bogues de sécurité découverts dans l'application Zoom. Le client Windows de Zoom perdait ses informations d'identification réseau, car l'application rendait les chemins d'accès aux fichiers UNC cliquables dans les fenêtres de discussion de groupe. Un rapport de The Intercept a également critiqué les pratiques de confidentialité de l’application de vidéoconférence pour avoir prétendument trompé les utilisateurs sur le chiffrement de bout en bout de la plateforme. Mais Zoom a fini par admettre que l'E2E n'est actuellement pas possible pour les réunions vidéo de Zoom et utilise plutôt le chiffrement TLS (Transport Layer Security).

En effet, un porte-parole de Zoom a écrit: « Actuellement, il n'est pas possible d'activer le chiffrement E2E pour les réunions vidéo Zoom. Les réunions vidéo Zoom utilisent une combinaison de TCP et UDP. Les connexions TCP sont établies à l'aide de TLS et les connexions UDP sont chiffrées avec AES à l'aide d'une clé négociée sur une connexion TLS ».

Le chiffrement utilisé par Zoom pour protéger les réunions est TLS, la même technologie que les serveurs Web utilisent pour sécuriser les sites Web HTTPS. Cela signifie que la connexion entre l'application Zoom exécutée sur l'ordinateur ou le téléphone d'un utilisateur et le serveur Zoom est chiffrée de la même manière que la connexion entre votre navigateur Web et ce billet (sur https://www.developpez.com) est chiffrée. Il s'agit du chiffrement de transport, qui est différent du chiffrement de bout en bout, car le service Zoom lui-même peut accéder au contenu vidéo et audio non chiffré des réunions Zoom. Ainsi, lorsque vous avez une réunion Zoom, le contenu vidéo et audio restera privé pour toute personne espionnant votre Wi-Fi, mais il ne restera pas privé pour la société.

Pour qu'une réunion Zoom soit chiffrée de bout en bout, le contenu vidéo et audio devrait être chiffré de telle sorte que seuls les participants à la réunion aient la possibilité de la déchiffrer. Le service Zoom lui-même pourrait avoir accès au contenu de la réunion chiffré, mais n'aurait pas les clés de déchiffrement nécessaires pour le déchiffrer (seuls les participants à la réunion auraient ces clés) et, par conséquent, n'aurait pas la capacité technique d'écouter les réunions privées.

« Lorsque nous utilisons l'expression ‘de bout en bout’ dans nos autres publications, cela fait référence à la connexion chiffrée du point de terminaison Zoom au point de terminaison Zoom », a avancé un porte-parole de Zoom, faisant apparemment référence aux serveurs Zoom comme des « points de terminaison » même s'ils se trouvent entre les clients Zoom. « Le contenu n'est pas déchiffré tandis qu’il est transféré à travers le cloud Zoom » via la mise en réseau entre ces machines.

Un autre problème auquel Zoom est confronté est la façon dont les nouveaux utilisateurs partagent les liens de réunions et de classes en ligne. Cette semaine, la division du FBI à Boston a mis en garde les écoles contre deux cas de "zoom-bombes" par des inconnus dans des salles de classe en ligne de deux lycées différents du Massachusetts. Selon le rapport du FBI Boston, dans un premier cas, un inconnu a crié des injures et a cité l'adresse du domicile de l'enseignant. Dans l'autre, le pirate informatique était visible par les élèves.

Le FBI a mis en garde les écoles contre le fait de rendre publiques des réunions ou des salles de classe et les a incitées à exiger un mot de passe pour les réunions. De plus, il leur a déconseillé de partager des liens vers des salles de classe sur des sites de médias sociaux accessibles au public.

Ces problèmes ont poussé certaines organisations à ne plus utiliser Zoom. SpaceX, qui a reconnu qu'un grand nombre de ses 6 000 employés avaient utilisé Zoom pour des réunions, a maintenant demandé à tous ses employés d'utiliser plutôt le courrier électronique, les SMS ou le téléphone en raison de « graves problèmes de confidentialité et de sécurité », selon un mémo vu par Reuters. L'agence spatiale américaine NASA a également interdit à ses employés d'utiliser Zoom.

Les mesures prises par Zoom

Zoom a déjà pris des mesures pour répondre aux critiques qui lui ont été adressées. Eric Yuan, a souligné dans un billet de blog plus tôt ce mois-ci que l'entreprise avait publié une correction du problème des liens UNC dans le client Windows. Yuan dit également avoir publié des correctifs pour les problèmes MacOS signalés par Wardle. En outre, la société a supprimé la fonction de suivi de l'attention des participants et a supprimé le navigateur de vente de LinkedIn dans Zoom, qui, selon elle, divulguait inutilement des données.

L'entreprise a aussi mis à jour sa politique de confidentialité, retiré le SDK Facebook de son application iOS et tenté de résoudre le problème du "zoombombing". Yuan s'est excusé pour la confusion autour de son E2E, et nié avoir construit un mécanisme pour déchiffrer les réunions en direct à des fins d'interception légale.

Selon le PDG de Zoom, toutes les ressources d'ingénierie de l’entreprise seront désormais consacrées aux questions de sécurité et de confidentialité, et la société prévoit un « examen complet » avec des tiers pour s'assurer qu'elle traite correctement la sécurité de ces nouveaux cas de consommateurs. Zoom s'engage également à publier un rapport de transparence afin de faire connaître le nombre de demandes de données d'utilisateurs émanant des forces de l'ordre et des gouvernements.

L’entreprise va « améliorer » également son programme de prime aux bogues, en consultant d'autres responsables de la sécurité de l'information dans l'industrie et en utilisant des tests d’intrusion pour identifier d'autres bogues de sécurité. À partir de la semaine prochaine, Yuan organisera un webinaire hebdomadaire, le mercredi, pour fournir des mises à jour sur la sécurité et la protection de la vie privée à la communauté Zoom.

Mise à jour du logiciel

C’est dans ce contexte que dans une mise à jour du logiciel, Zoom a pris des mesures pour améliorer la sécurité des mots de passe et a proposé des ID aléatoires pour les réunions. La société a également amélioré la protection par mot de passe pour les enregistrements de réunions stockés dans le cloud et ajouté d'autres fonctionnalités de sécurité clé.

Après avoir effectué un audit de sécurité du partage de fichiers tiers via OneDrive et Dropbox, Zoom a maintenant réactivé la fonctionnalité qui avait été temporairement supprimée. Conscient de l'examen minutieux auquel il est soumis pour de nombreux manquements en matière de sécurité et de confidentialité, Zoom a utilisé un billet de blog pour mettre en évidence les changements qu'il propose pour améliorer la protection du service.

L’éditeur a mis en avant les éléments suivants :

• Exigences de mot de passe: pour les réunions et les webinaires, les propriétaires de compte et les administrateurs peuvent désormais configurer les exigences minimales de mot de passe de réunion pour ajuster la longueur minimale et exiger des lettres, des chiffres et des caractères spéciaux, ou autoriser uniquement les mots de passe numériques. Tous les comptes de base gratuits auront l'option alphanumérique activée par défaut.
• ID de réunion aléatoires: les ID de réunion générés aléatoirement pour les réunions et les webinaires nouvellement programmés seront composés de 11 chiffres au lieu de neuf. Votre identifiant de réunion personnel (PMI) restera le même.
• Enregistrements cloud: la protection par mot de passe pour les enregistrements cloud partagés est désormais activée par défaut pour tous les comptes. Nous avons également amélioré la complexité des mots de passe sur vos enregistrements cloud. Les enregistrements partagés existants ne sont pas affectés.
• Partage de fichiers tiers: vous pouvez à nouveau utiliser des plateformes tierces, telles que Box, Dropbox et OneDrive, pour faire des partages sur la plateforme Zoom. Nous avons temporairement désactivé cette fonctionnalité et l'avons restaurée après un examen de sécurité complet du processus.
• Aperçu du message Zoom Chat: les utilisateurs Zoom Chat peuvent masquer l'aperçu du message pour les notifications de chat sur le bureau. Si cette option est désactivée, vous serez simplement averti que vous avez un nouveau message sans afficher de contenu de message.

Source : Zoom

Et vous ?

Que pensez-vous de Zoom ? L'utilisez-vous ?
Que pensez-vous de cette mise à jour ? Ces améliorations sont-elles susceptibles de permettre à Zoom de regagner la confiance du grand public et des entreprises ?

[Stan Adkens]

La dernière mise à jour majeure Zoom 5.0 annoncée avec un chiffrement amélioré,
Et plus d'options de sécurité

Zoom a annoncé mercredi de nombreuses options d’améliorations de sécurité et de vie privée dans Zoom 5.0, la dernière mise à jour majeure, alors que l’entreprise n’est qu’à son premier mois de son plan de trois mois annoncé le 1er avril pour identifier, traiter et améliorer les capacités de sécurité et de confidentialité de sa plateforme de vidéoconférence. Dans un article de blog publié mercredi, l’entreprise dit avoir soumis son réseau, l'expérience utilisateur et toutes les fonctionnalités de son client de vidéoconférence à un examen rigoureux. Avec la prochaine version, les utilisateurs pourront bénéficier de l'ajout du chiffrement AES 256 bits GCM, ainsi que de la possibilité de choisir les options de routage des appels.

Zoom a été l'un des premiers bénéficiaires de la hausse de la demande des applications de vidéoconférence - la société est passée de 10 millions d'utilisateurs en décembre à plus de 200 millions en mars -, alors que le nombre de réunions et classes en ligne est en augmentation pour s’adapter à la période du Covid-19. Mais des problèmes de sécurité et de confidentialité, liés au fait que la plateforme n’était prête à accueillir autant d’utilisateurs, ont emmené l’entreprise à annoncer un gel des fonctionnalités pendant 90 jours pour résoudre ces problèmes.

La semaine dernière, l’éditeur de Zoom a annoncé une amélioration des capacités de mots de passe pour les réunions Zoom, les webinaires et les enregistrements dans le cloud. Cette semaine, Il a dévoilé plus de détails de la prochaine version majeure de sa plateforme Zoom qui permet de résoudre de nombreux problèmes de sécurité et de respect de la vie privée ayant fait l’objet de nombreux critiques ces dernières semaines.

Le PDG de la société, Eric S Yuan, a déclaré : « Je suis fier d'atteindre cette étape de notre plan de 90 jours, mais ce n'est que le début. Nous avons bâti notre entreprise en apportant du bonheur à nos clients. Nous allons gagner la confiance de nos clients et allons leur apporter le bonheur en nous concentrant sur la fourniture de la plateforme la plus sûre possible ».

Le passage au chiffrement AES 256 bits GCM est l’une des améliorations majeures dans le réseau Zoom. Ce changement permet de garantir la confidentialité et l'intégrité des données des réunions, des webinaires vidéo et des données des téléphones des utilisateurs de Zoom. Selon l’article de Zoom, la nouvelle norme de chiffrement dans Zoom 5.0, dont la sortie est prévue dans la semaine, prendra effet une fois que tous les comptes seront activés avec GCM. L'activation des comptes à l'échelle du système aura lieu le 30 mai.

Aussi, comme annoncé plus tôt ce mois, Zoom 5.0 présentera un bouton "Sécurité" réunissant toutes les fonctions liées. Oded Gal, directeur général de Zoom, a déclaré :

« Nous avons une vision globale de la vie privée de nos utilisateurs et de la sécurité de notre plateforme. De notre réseau à l'expérience utilisateur, en passant par nos fonctionnalités, tout est soumis à un examen rigoureux. En fin de compte, le chiffrement AES 256 bits GCM va relever la barre pour sécuriser les données de nos utilisateurs en transit. Au premier plan, je suis très enthousiaste au sujet de l'icône "Sécurité" dans la barre de menu de la réunion. Elle met nos dispositifs de sécurité, existants et nouveaux, au premier plan pour nos hôtes de réunion. Avec des millions de nouveaux utilisateurs, cela permettra de s'assurer qu'ils ont un accès instantané à des contrôles de sécurité importants dans leurs réunions ».

Une autre amélioration réseau dans la nouvelle version de Zoom, c’est la possibilité pour les comptes payants de choisir la région dans laquelle ils souhaitent que les données soient routées. Selon la société, l'administrateur du compte peut choisir les régions du centre de données que les réunions et webinaires hébergés par son compte utilisent pour le trafic en temps réel au niveau du compte, du groupe ou de l'utilisateur. Cette fonction est destinée à dissiper les craintes que les chats et les clefs de chiffrement de Zoom soient envoyés à des serveurs chinois que Zoom a admis plus tôt ce mois.

Des améliorations pour améliorer l’expérience et les contrôles de l’utilisateur

Icône de Sécurité : Les fonctions de sécurité de Zoom, qui étaient auparavant accessibles dans tous les menus de la réunion, sont maintenant regroupées et accessibles en cliquant sur l'icône de sécurité dans la barre de menu de la réunion sur l'interface de l'hôte.

Contrôles robustes de l'hôte : Les hôtes pourront "signaler un utilisateur" à Zoom via l'icône de Sécurité. Ils pourront également désactiver la possibilité pour les participants de se renommer. Pour les clients du secteur de l'éducation, le partage d'écran est désormais limité par défaut à l'hôte.

Salle d'attente activée par défaut : La salle d'attente, une fonction existante qui permet à un hôte de garder les participants dans des salles d'attente virtuelles individuelles avant qu'ils ne soient admis à une réunion, est maintenant activée par défaut pour les comptes Education, Basic et licence unique Pro. Tous les hôtes peuvent désormais également activer la salle d'attente pendant que leur réunion est déjà en cours.

Complexité du mot de passe pour les réunions et activation par défaut : Les mots de passe pour les réunions, une fonction existante de Zoom, est maintenant activée par défaut pour la plupart des clients, y compris tous les clients Basic, les clients à licence unique Pro et les clients Education du primaire au secondaire. Les administrateurs de compte ont maintenant la possibilité de définir la complexité des mots de passe (tels que la longueur, les caractères alphanumériques et les caractères spéciaux requis). En outre, les administrateurs de Zoom Phone peuvent désormais ajuster la longueur du code PIN nécessaire pour accéder à la messagerie vocale.

Enregistrement des mots de passe dans le cloud : Les mots de passe sont désormais définis par défaut pour tous ceux qui accèdent aux enregistrements dans le cloud, à l'exception de l'hôte de la réunion. Pour les comptes administrés, les administrateurs de compte ont maintenant la possibilité de définir la complexité du mot de passe.

Partage sécurisé des contacts de compte : Zoom 5.0 prendra en charge une nouvelle structure de données pour les grandes organisations, leur permettant de relier les contacts de plusieurs comptes afin que les personnes puissent facilement et en toute sécurité rechercher et trouver des réunions, des chats et des contacts téléphoniques.

Zoom n'est peut-être encore qu’au début de ses efforts, mais les changements annoncés et sa prompte réaction pour répondre aux questions de sécurité et de confidentialité sont bien appréciés. « Ils semblent vraiment écouter et travailler pour résoudre les plus grosses plaintes », a écrit un premier commentateur. Un autre, qui salue les changements, espère que Zoom se conformera réellement et entièrement au GDPR en respectant la vie privée des utilisateurs en Europe. « Cela concerne non seulement les données en transit qui ne quittent pas les centres de données européens de Zoom, mais aussi les données au repos qui doivent être stockées uniquement en Europe et efficacement chiffrées avec un algorithme AES 256 bits », a-t-il ajouté.

Source : Zoom

Et vous ?

Que pensez-vous des améliorations annoncées par Zoom ?
Êtes-vous utilisateur de Zoom ? Ces changements résolvent-ils l’ensemble des problèmes de sécurité et de confidentialité de la plateforme ?
Pensez-vous que la correction des faiblesses attirera davantage d’utilisateurs sur Zoom ?

Lire aussi

Certaines clefs de chiffrement de Zoom sont transmises aux participants d'une réunion via des serveurs en Chine selon les chercheurs, Zoom l'admet et s'explique
Zoom met à jour son logiciel pour améliorer la protection par mots de passe des vidéoconférences, et pour sécuriser les enregistrements sur le cloud
Zoom annonce un gel des fonctionnalités pendant 90 jours pour résoudre les problèmes de confidentialité et de sécurité, alors que l'application a atteint 200 millions d'utilisateurs quotidiens
Zoom poursuivi en justice par un de ses actionnaires pour non-divulgation des problèmes de confidentialité et de sécurité, la valeur de l'action de l'entreprise connait une baisse

[Nancy Rey]

Zoom passe le cap des 300 millions d’utilisateurs par jour et ses actions en bourse atteignent un record
en dépit du nombre croissant des organisations qui le bannissent

Zoom vient de dévoiler sa mise à jour 5.0, mettant en avant des améliorations de sécurité et a annoncé ce 22 avril avoir passé un nouveau seuil d’utilisateurs. 300 millions de personnes utilisent Zoom quotidiennement pour leurs réunions à distance. Les actions de Zoom, qui ont presque quintuplé depuis l'entrée en bourse de la société en mars 2020, ont augmenté de 12 % pour atteindre un record de 168,24 dollars jeudi dernier.

L’annonce a été faite par Éric Yuan, le directeur de la firme sur le blog de l’entreprise, dans le cadre d’une mise à jour du plan de sécurité de 90 jours de la plateforme.

Plusieurs entreprises interdisent l'utilisation de Zoom à leurs employés à cause des problèmes de sécurité

Le constructeur automobile allemand Daimler est la dernière entreprise en date à déclarer qu'elle interdit l'utilisation de Zoom pour tout contenu d'entreprise jusqu'à nouvel ordre. « Il y a des rapports sur les lacunes de sécurité et les défis concernant la protection des données de Zoom. Cela ne répond pas aux exigences de sécurité de notre entreprise. Par conséquent, nous pouvons confirmer que Daimler interdit l'utilisation de Zoom pour le contenu de l'entreprise jusqu'à nouvel ordre », a déclaré Christoph Sedlmayr, porte-parole de Mercedes-Benz Cars.

Bloomberg News a également rapporté que la société de technologie sans fil NXP avait interdit l'utilisation de l'application avec des parties externes, et que les employés de la société suédoise Ericsson avaient été avertis de ne pas l'utiliser. « Nous n'avons pas interdit aux employés d'utiliser un outil de collaboration, mais nous leur conseillons d'être prudents avec les outils de collaboration non approuvés en raison des risques de sécurité », a déclaré un porte-parole de Ericsson.

Zoom a été interdit par de nombreuses écoles du monde entier, par l'entreprise SpaceX de Elon Musk, par la banque asiatique Standard Chartered ainsi que par les gouvernements d'Allemagne, de Taïwan et de Singapour.

La popularité est restée malgré les multiples problèmes de sécurité

Un porte-parole de Zoom a rappelé que des entreprises du monde entier ont procédé à des évaluations exhaustives de la sécurité de sa plateforme et qu'elles utilisent ses services. Le confinement de millions de personnes dans le monde, dû au covid-19, a entraîné une croissance énorme de l'utilisation des plateformes comme Zoom, Skype ou l'application Teams de Microsoft.

La croissance de Zoom s'est accrue alors même qu'elle faisait face à des critiques de la part d'experts en cybersécurité et d'utilisateurs concernant des bogues dans ses codes et l'absence de chiffrement de bout en bout de ses sessions de chat.

Zoom 5.0 un chiffrement plus fort et des mots de passe pour rejoindre les conversations

L'ancien responsable de la sécurité de Facebook, Alex Stamos, et un certain nombre d'autres experts en sécurité ont été nommés pour s'attaquer à ces problèmes. Ils affirment que les incidents de zoombombing, où des personnes non invitées se sont introduites dans des réunions, ont été causés par des choix simples faits par certains des millions de nouveaux utilisateurs de l'application et que la société a pris des mesures raisonnables, notamment en donnant aux hôtes la possibilité de verrouiller les réunions et de restreindre ce que les participants peuvent faire.

Pour les entreprises clientes, cependant, la question du chiffrement et de savoir qui conserve les enregistrements ou peut écouter les appels est plus importante, que ce soit pour protéger des informations précieuses de l'entreprise ou pour respecter les obligations de confidentialité envers les clients.

Lea Kissner, l’ancienne responsable mondiale des technologies de protection de la vie privée chez Google, et aujourd'hui consultante en sécurité pour Zoom, a déclaré que le chiffrement GCM 256 bits qui sera introduit avec Zoom 5.0 la semaine prochaine est conforme à ce que d'autres entreprises du secteur utilisent. Tous les clients de Zoom passeront au nouveau mode cryptographique à partir du 30 mai, a déclaré Kissner.

Pour tenir compte des critiques selon lesquelles la société a fait passer certaines données par des serveurs chinois, Zoom a également déclaré qu'un administrateur de compte peut désormais choisir les régions des centres de données pour ses réunions.

Sources : Reuters, Zoom blog

Et vous ?

Que pensez-vous des nouvelles fonctionnalités de zoom 5.0 ?
Selon vous, sont-elles des réponses fiables aux différents problèmes de sécurité de Zoom ?

Voir aussi :

L'éditeur de l'application de vidéoconférence Zoom poursuivi en justice pour avoir transmis les données des utilisateurs à Facebook, via son SDK « Facebook Login »

Zoom annonce un gel des fonctionnalités pendant 90 jours pour résoudre les problèmes de confidentialité et de sécurité, alors que l'application a atteint 200 millions d'utilisateurs quotidiens

Les réunions sur Zoom ne supportent pas le chiffrement de bout en bout, Zoom a donc la capacité technique d'espionner les réunions vidéo privées

Certaines clés de chiffrement de Zoom sont transmises aux participants d'une réunion via des serveurs en Chine selon les chercheurs, Zoom l'admet et s'explique

[Stan Adkens]

Zoom 5.0 est maintenant disponible avec des améliorations de sécurité :
Voici ce que vous devez savoir sur la dernière version de la plateforme de vidéoconférence

Zoom Video Communications a annoncé lundi que la dernière version majeure de sa plateforme de services de téléconférence pour bureau et mobile est désormais disponible au téléchargement pour Windows, Android, Mac et iOS. Zoom 5.0, est conçue pour répondre aux problèmes de confidentialité et de sécurité de Zoom qui sont apparus lorsque la demande pour le service de vidéoconférences a explosé alors que les gens restaient et travaillaient à la maison pour s’adapter à la période du covid-19. La société lance maintenant les nouvelles mises à jour pour préparer les utilisateurs à la prochaine transition vers le chiffrement GCM.

Comme annoncé la semaine dernière, Zoom 5.0 vient avec des mesures de sécurité améliorées qui comprennent un chiffrement plus puissant, des mots de passe par défaut et une nouvelle icône pour un accès facile aux importants paramètres de sécurité. Le service utilise désormais la norme de chiffrement AES 256 bits GCM. Il ne s'agit toujours pas d'un chiffrement de bout en bout - ce que Zoom avait initialement, et à tort, prétendu avoir - mais cela rendra les réunions beaucoup plus sûres.

Zoom introduit également plusieurs nouvelles mesures relatives aux mots de passe, qui semblent destinées à mettre fin au Zoombombing de Zoom par les trolls qui perturbent les réunions de façon aléatoire. Le Zoombombing est une faille de l’application, découverte par la société de cybersécurité Check Point, qui permettait à un pirate informatique de générer facilement des numéros d'identification de réunion actifs, qu'il peut ensuite utiliser pour se joindre aux réunions si celles-ci n'étaient pas protégées par un mot de passe. Zoom avait déjà apporté un certain nombre de modifications pour résoudre le problème avec les Mac.

Si vous êtes sous Windows, Android ou Mac, Zoom 5.0 est disponible pour vous depuis lundi. Vous pouvez être invité à mettre à jour le client ou l'application lorsque vous l'ouvrez, ou vous pouvez obtenir manuellement la mise à jour dans le centre de téléchargement de Zoom. Si vous êtes sur iOS, vous devrez attendre un peu plus longtemps pour qu'Apple vérifie la mise à jour.

Si Zoom est géré pour vous par un administrateur, celui-ci gérera cette mise à jour pour vous, d’après l’éditeur de l’application. À partir du 30 mai 2020, vous devez avoir mis l’application à jour vers Zoom 5.0 ou version ultérieure pour pouvoir participer à une réunion, car le chiffrement GCM sera entièrement activé pour toutes les réunions Zoom. Avant cette date, les clients Zoom 5.0 utiliseront le chiffrement utilisé actuellement par les réunions Zoom, a expliqué la société.

Voici cinq choses que Zoom veut que vous sachiez sur Zoom 5.0 pour commencer la mise à jour :

Chiffrement AES 256 bits GCM : Zoom 5.0 prend en charge non seulement le chiffrement actuel, mais aussi le chiffrement GCM. L'activation du nouveau chiffrement pour l'ensemble du système aura lieu le 30 mai 2020, et seuls les clients Zoom de la version 5.0 ou ultérieure, y compris les salles Zoom, pourront participer aux réunions Zoom à partir de cette date. Selon Zoom, si un client plus ancien tente de se joindre à une réunion GCM, l'utilisateur sera invité à confirmer sa participation avant la mise à niveau. La société permettra également que certaines versions offrent aux utilisateurs la possibilité de participer via le Web et d'effectuer la mise à niveau du client plus tard.

Signaler une fonctionnalité de l'utilisateur : la nouvelle mise à jour de l’application permet aux hôtes et co-hôtes de réunions de signaler un utilisateur de leur réunion qui utilise abusivement la plateforme Zoom. Cette option, qui se trouve dans l'icône de Sécurité, envoie un rapport à l'équipe Trust & Safety de Zoom pour examen. Ce rapport peut inclure une infraction spécifique, une description et une capture d'écran optionnelle. La fonction Signaler un Utilisateur est activée par défaut, mais peut être désactivée au niveau du compte, du groupe et de l'utilisateur dans le portail Web de Zoom.

Nouvelle icône de Chiffrement : Une nouvelle icône de chiffrement apparaît désormais dans le coin supérieur gauche de votre fenêtre Zoom Meeting et indique que la votre réunion est sécurisée et chiffrée. Selon Zoom, l’icône sera verte, à partir du 30 mai, pour tous les utilisateurs, indiquant un chiffrement GCM amélioré. En cliquant sur l'icône, vous pouvez également accéder à la page des statistiques pour obtenir des détails supplémentaires sur le chiffrement.

Informations sur le centre de données : Les organisateurs de réunions peuvent désormais sélectionner les régions de centres de données au niveau de la programmation des réunions et des webinaires. Le client Zoom indique également à quel centre de données vous êtes connecté dans l'icône Info en haut à gauche de votre fenêtre Zoom. Vous pouvez obtenir des détails supplémentaires lors de la réunion en sélectionnant Paramètres vidéo - Statistiques dans les paramètres de la réunion.

La société indique, en outre, que si les organisations situées en dehors de la Chine n'ont pas choisi de se connecter au centre de données chinois avant la date limite du 25 avril, ces comptes ne pourront pas se connecter à la Chine continentale pour le transit des données. Zoom avait été critiqué en mars d’envoyer les chats et les clés de chiffrement à des serveurs chinois, et la société a admis plus tôt ce mois.

Améliorations apportées à l'action de terminer ou quitter une réunion Zoom : Zoom a amélioré la fonction terminer ou quitter une réunion pour la rendre plus facile et aussi plus sûre. Désormais, les hôtes peuvent clairement décider de mettre fin ou de quitter une réunion, grâce à une nouvelle mise à jour de l'interface utilisateur. Selon la société, si l'hôte quitte la réunion, il peut désormais choisir facilement un nouvel hôte à qui lui attribuer ses privilèges de façon sûre.

D’autres améliorations de sécurité dans Zoom

Les administrateurs de compte et les hôtes peuvent désormais contrôler les images de profil des participants en désactivant la possibilité pour ces derniers de montrer leur photo de profil et en les empêchant de la modifier lors d'une réunion. Zoom a fixé la longueur minimale par défaut du mot de passe à six caractères pour les réunions, les webinaires et les enregistrements en ligne.

Désormais, les administrateurs et les hôtes de réunions peuvent définir des dates d'expiration pour leurs enregistrements dans le cloud et peuvent désactiver le partage de leurs enregistrements. Des identifiants de réunion uniques à onze chiffres sont désormais mis en place. Les identifiants de réunion sont également supprimés de la fenêtre de partage de contenu afin d'éviter le partage accidentel d'informations sur les réunions.

Le renforcement des mesures de sécurité de Zoom intervient à un moment où le service de vidéoconférence a connu une croissance énorme. La semaine dernière, la société a annoncé qu'elle avait dépassé les 300 millions de participants quotidiens aux réunions de Zoom, soit une augmentation de 50 % par rapport à début avril. Pourtant, les problèmes de confidentialité de Zoom ont fait la une des journaux et certaines entreprises et entités gouvernementales ont interdit son utilisation.

Mais les concurrents ne se laissent pas faire. Facebook a récemment annoncé son nouveau produit d'appel vidéo gratuit, Messenger Rooms. C’est une nouvelle fonctionnalité d'appel vidéo qui permet aux membres de Facebook de créer des salons de discussion vidéo publics ou privés pouvant accueillir jusqu'à 50 personnes pendant une durée illimitée. En comparaison, les appels gratuits de Zoom peuvent accueillir jusqu'à 100 participants pendant 40 minutes.

Skype a également dévoilé son service gratuit Meet Now qui ne nécessite pas de téléchargement ou d'inscription. Meet Now vous permet d'organiser des conférences téléphoniques en générant un lien unique gratuit en un seul clic. Vous partagez ensuite ce lien avec les participants pour profiter de réunions illimitées via Skype. Selon Microsoft, propriétaire de Skype, le lien de votre réunion n'expire pas et peut être utilisé à tout moment. Microsoft est aussi en train d’apporter des améliorations dans Teams pour répondre aux besoins des utilisateurs.

Source : Zoom

Et vous ?

Que pensez-vous de la nouvelle version de Zoom ?
Pensez-vous qu’elle attirera davantage d’utilisateurs ?
Quelles sont les fonctionnalités qui vous pousse à utiliser Zoom ?

Lire aussi

Le Zoombombing, le fait de s'introduire dans les réunions publiques de Zoom sans y être invité, est un crime, pas une farce, avertissent les autorités US
Zoom passe le cap des 300 millions d'utilisateurs par jour et ses actions en bourse atteignent un record, en dépit du nombre croissant des organisations qui le bannissent
La dernière mise à jour majeure Zoom 5.0 annoncée avec un chiffrement amélioré, et plus d'options de sécurité
Zoom poursuivi en justice par un de ses actionnaires pour non-divulgation des problèmes de confidentialité et de sécurité, la valeur de l'action de l'entreprise connait une baisse