Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un ancien hacker de la NSA découvre une faille dans Zoom permettant de prendre le contrôle des Mac, notamment la webcam, le micro et l'accès root,
Elon Musk interdit à ses employés de l'utiliser

Le , par Bill Fassinou

460PARTAGES

4  0 
La popularité de Zoom est montée en flèche depuis le début de la pandémie du Covid-19, mais beaucoup de choses semblent le rattraper à présent. Les découvertes de failles de sécurité graves se multiplient et Zoom commence par être déprécié par certains patrons de la Tech et d’autres interdisent déjà son utilisation au sein de leurs organisations. Elon Musk vient de le faire. Pendant ce temps, un ex-hacker de la NSA découvre une nouvelle faille de sécurité dans Zoom servant à prendre le contrôle des Mac, en particulier la webcam, le micro et l'accès "root".

Depuis le début de l’année, Zoom a gagné une importante part de marché dans la nouvelle expérience de télétravail forcée par la propagation du Covid-19. Cela a fait en sorte que les chercheurs en sécurité se sont intéressés de plus près aux pratiques de Zoom en matière de sécurité et de confidentialité. Mais, le résultat de cette attention va de plus en plus en défaveur de Zoom qui voit sa cote de popularité chuter à nouveau. Un ex-hacker de la NSA, Patrick Wardle, a montré qu’il est toujours possible d’attaquer un Mac à distance et de le contrôler totalement.

Plus précisément, ce dernier a découvert deux nouveaux bogues qui permettent aux pirates de prendre le contrôle de votre Mac, notamment la webcam, le microphone, et même l'accès root complet. Ce type de problème a déjà été observé au sein de Zoom l’été dernier, mais Zoom a annoncé avoir déployé un correctif pour résoudre le problème. Wardle a découvert qu'un attaquant local avec des privilèges d'utilisateur de bas niveau peut injecter du code malveillant dans l'installateur de Zoom pour obtenir le plus haut niveau de privilèges d'utilisateur, l'accès root.


Une fois cette faille exploitée, l'attaquant peut obtenir et maintenir un accès persistant aux entrailles de l'ordinateur de la victime. Cette action lui permet d'installer des logiciels malveillants ou des logiciels espions. Tout ceci se passe sans que la victime s'en aperçoive. Le second bogue découvert par Wardle exploite une faille dans la manière dont Zoom gère la webcam et le microphone sur les Mac. Zoom, comme toute application nécessitant une webcam et un microphone nécessite en premier lieu le consentement de l'utilisateur.

Mais, selon Wardle, un attaquant peut injecter un code malveillant dans Zoom pour le piéger et lui donner le même accès à la webcam et au microphone que celui dont dispose déjà Zoom. Il a réussi à faire charger son code malveillant par Zoom. « Le code hérite automatiquement d'une partie ou de la totalité des droits d'accès de Zoom », a-t-il déclaré. Selon lui, cela inclut l'accès de Zoom à la webcam et au microphone. « Aucune invite supplémentaire ne sera affichée, et le code injecté a pu enregistrer arbitrairement des données audio et vidéo », a-t-il ajouté.

Cela nous amène à la situation actuelle. Les nouvelles découvertes de Wardle en matière de bogues signifient que les Mac sont à nouveau vulnérables à la prise de contrôle des webcams et des micros, en plus de l’accès root d'un Mac. Zoom devra vite réagir pour corriger ces problèmes alors que son logiciel commence à être déprécié. « Si vous vous souciez de votre sécurité et de votre vie privée, vous devriez peut-être arrêter d'utiliser Zoom », a-t-il écrit dans un article de blogue détaillant ce qu’il a trouvé. Elon Musk et la NASA n’ont pas hésité à interdire Zoom.

Selon Reuters, Musk a adressé une note de service aux employés de SpaceX, sa société de fusée, leur demandant d’arrêter d’utiliser Zoom en raison des soucis liés à sa sécurité. L’entreprise a indiqué à ses employés le 28 mars que tous les accès à Zoom concernant la société avaient été désactivés avec effet immédiat. « Nous comprenons que beaucoup d'entre nous utilisaient cet outil pour des conférences et des réunions », a déclaré SpaceX dans sa note. « Veuillez utiliser le courrier électronique, le texte ou le téléphone comme autres moyens de communication ».

La NASA, l'un des plus gros clients de SpaceX, interdit également à ses employés d'utiliser Zoom, a déclaré Stephanie Schierholz, porte-parole de l'agence spatiale américaine. Selon Reuters, lundi dernier, le bureau de Boston du FBI a émis un avertissement à propos de Zoom, disant aux utilisateurs de ne pas rendre publiques les réunions sur le site ou de partager largement les liens après avoir reçu deux rapports d'individus non identifiés envahissant les sessions scolaires, un phénomène connu sous le nom de “zoombombing”.

Il s’est également avéré la semaine dernière que Zoom ne supporte pas le chiffrement de bout en bout pour ses appels, alors que le site de la société disait le contraire. Zoom s’est ensuite excusé pour cela. « Nous voulons commencer par nous excuser pour la confusion que nous avons causée en suggérant à tort que les réunions de Zoom étaient capables d'utiliser un chiffrement de bout en bout », a déclaré Zoom dans un article de blog. « Zoom s'est toujours efforcé de chiffrer le contenu pour le protéger dans le plus grand nombre de scénarios possible, et dans cet esprit, nous avons utilisé le terme de chiffrement de bout en bout ».

Enfin, la société a également déclaré qu'elle chiffre tout le contenu des réunions Zoom où tout le monde utilise l'application Zoom et où les sessions ne sont pas enregistrées. Elle a déclaré qu'elle était actuellement incapable de chiffrer le contenu lorsque les utilisateurs se connectent en utilisant d'autres appareils. Toutefois, en attendant que Zoom corrige ces problèmes, la société risque de perdre énormément d’utilisateurs au profit des solutions concurrentes.

Sources : Patrick Wardle, Reuters

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Les réunions sur Zoom ne supportent pas le chiffrement de bout en bout. Zoom a donc la capacité technique d'espionner les réunions vidéo privées

Zoom divulguerait les adresses mail et photos des utilisateurs et permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus

Ordinateurs Mac : une faille de sécurité zero-day a été détectée sur le logiciel zoom et pourrait permettre aux sites Web de détourner la caméra

En Chine, le coronavirus force la plus grande expérience de travail à domicile au monde, le télétravail semble être la seule solution dont disposent les entreprises

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Stéphane le calme
Chroniqueur Actualités https://www.developpez.com
Le 15/10/2020 à 14:06
Zoom annonce qu'il va proposer le chiffrement de bout en bout sous forme de Technical Preview la semaine prochaine,
pour les clients de la version gratuite et payante

Zoom a été l’un des grands bénéficiaires de cette pandémie : le service de visioconférence a vu son pic d’utilisation exploser au point de franchir la barre des 300 millions journaliers d’utilisateurs. Le revers de la médaille a été une attention particulière portée à l’application, notamment par des experts en sécurité. C’est dans ce contexte que des bogues ont été découverts, mais aussi le fait que les réunions Zoom ne supportaient pas le chiffrement de bout en bout.

Dans le livre blanc de Zoom, il existe une liste de « fonctionnalités de sécurité avant la réunion » disponibles pour l'hôte de la réunion qui commence par « Activer une réunion chiffrée de bout en bout (E2E) ». Plus loin dans le livre blanc, il est fait mention de « Sécuriser une réunion avec le chiffrement E2E » comme étant une « capacité de sécurité en réunion » disponible pour les hôtes de réunion. Lorsqu'un hôte démarre une réunion avec le paramètre « Exiger le chiffrement pour les points de terminaison tiers » activé, les participants voient un cadenas vert qui dit, « Zoom utilise une connexion chiffrée de bout en bout » lorsqu'ils passent la souris dessus.

Mais lorsque l’entreprise a été contactée pour savoir si les réunions vidéo sont réellement chiffrées de bout en bout, un porte-parole de Zoom a écrit : « Actuellement, il n'est pas possible d'activer le chiffrement E2E pour les réunions vidéo Zoom. Les réunions vidéo Zoom utilisent une combinaison de TCP et UDP. Les connexions TCP sont établies à l'aide de TLS et les connexions UDP sont chiffrées avec AES à l'aide d'une clé négociée sur une connexion TLS ».

Face à la réaction que cela a provoqué, l’entreprise a décidé de travailler sur ces points de sécurité. L’entreprise a d’abord rappelé que son offre était destinée principalement aux entreprises ; elle n’avait donc pas anticipé la popularité soudaine au sein des utilisateurs personnels.

Elle a proposé dans un premier temps une mise à jour de son application, Zoom 5.0. Cette dernière version s’est accompagnée de mesures de sécurité améliorées qui comprennent un chiffrement plus puissant, des mots de passe par défaut et une nouvelle icône pour un accès facile aux importants paramètres de sécurité. Ce service faisait appel à la norme de chiffrement AES 256 bits GCM. Bien qu’il ne s'agissait toujours pas d'un chiffrement de bout en bout, il venait rendre les réunions beaucoup plus sûres.

Puis Zoom a annoncé avoir fait l’acquisition de Keybase, dont l’équipe va apporter son expertise pour aider Zoom à construire un chiffrement de bout en bout pour ses vidéoconférences « qui pourront atteindre l'évolutivité actuelle de Zoom ».


Le chiffrement de bout en bout est déployé progressivement

Par le biais de Max Krohn, Head of Security Engineering chez Zoom, l'entreprise a annoncé déployer cette offre :

« Nous sommes ravis d'annoncer qu'à partir de la semaine prochaine, l'offre de chiffrement de bout en bout (E2EE) de Zoom sera disponible sous forme de technical preview, ce qui signifie que nous sollicitons de manière proactive les commentaires des utilisateurs pendant les 30 premiers jours. Les utilisateurs de Zoom - gratuits et payants - du monde entier peuvent accueillir jusqu'à 200 participants à une réunion E2EE sur Zoom, offrant une confidentialité et une sécurité accrues pour vos sessions Zoom.

« Nous avons annoncé en mai notre intention de créer une option de réunion chiffrée de bout en bout sur notre plateforme, en plus du chiffrement déjà puissant et des fonctionnalités de sécurité avancées de Zoom. Nous sommes heureux de déployer la première phase sur les quatre de notre offre E2EE, qui fournit des protections robustes pour aider à empêcher l'interception des clés de déchiffrement qui pourraient être utilisées pour surveiller le contenu des réunions. »

Il a précisé que le chiffrement de bout en bout de Zoom « utilise le même chiffrement GCM puissant que vous obtenez actuellement dans une réunion Zoom. La seule différence réside dans l'emplacement de ces clés de chiffrement ».


Dans les réunions classiques, le cloud de Zoom génère des clés de chiffrement et les distribue aux participants à la réunion à l'aide des applications Zoom lorsqu'ils se joignent. Avec l'E2EE de Zoom, l'hôte de la réunion génère des clés de chiffrement et utilise la cryptographie à clé publique pour distribuer ces clés aux autres participants à la réunion. Les serveurs de Zoom deviennent des relais inconscients et ne voient jamais les clés de chiffrement nécessaires pour déchiffrer le contenu de la réunion.

« Le chiffrement de bout en bout est un autre pas en avant pour faire de Zoom la plateforme de communication la plus sécurisée au monde », a déclaré Eric S. Yuan, PDG de Zoom. « Cette phase de notre offre E2EE offre la même sécurité que les plateformes de messagerie chiffrées de bout en bout existantes, mais avec la qualité vidéo et l'évolutivité qui ont fait de Zoom la solution de communication de choix pour des centaines de millions de personnes et les plus grandes entreprises du monde. »

Dans une foire à questions, l'éditeur a tenté d'apporter le plus d'éclaircissements possible aux utilisateurs. Par exemple :
  • Comment Zoom fournit-il un chiffrement de bout en bout ? L’offre E2EE de Zoom utilise la cryptographie à clé publique. En bref, les clés de chaque réunion Zoom sont générées par les machines des participants, et non par les serveurs de Zoom. Les données chiffrées relayées via les serveurs de Zoom sont indéchiffrables par Zoom, car les serveurs de Zoom ne disposent pas de la clé de déchiffrement nécessaire. Cette stratégie de gestion des clés est similaire à celle utilisée par la plupart des plateformes de messagerie chiffrées de bout en bout aujourd'hui.
  • Comment activer E2EE ? Les hôtes peuvent activer le paramètre E2EE au niveau du compte, du groupe et de l'utilisateur et peuvent être verrouillés au niveau du compte ou du groupe. Tous les participants doivent avoir le paramètre activé pour rejoindre une réunion E2EE. Dans la phase 1, tous les participants à la réunion doivent se joindre à partir du client de bureau Zoom, de l'application mobile ou des salons Zoom Room.
  • Ai-je accès à toutes les fonctionnalités d'une réunion Zoom régulière ? Pas tout de suite. L'activation de cette version d'E2EE de Zoom dans vos réunions désactive certaines fonctionnalités, notamment rejoindre la réunion avant l'hôte, l'enregistrement dans le cloud, le streaming, la transcription en direct, les Breakout Rooms, les sondages, le chat privé 1:1 et les réactions aux réunions.
  • Les utilisateurs gratuits de Zoom ont-ils accès au chiffrement de bout en bout ? Oui. Les comptes Zoom gratuits et payants qui se joignent à partir du client de bureau ou de l'application mobile de Zoom, ou d'une Zoom Room, peuvent héberger ou rejoindre une réunion E2EE.
  • En quoi est-ce différent du chiffrement GCM amélioré de Zoom ? Les réunions et webinaires Zoom utilisent par défaut le chiffrement GCM AES 256 bits pour le partage audio, vidéo et d'application (c'est-à-dire le partage d'écran, le tableau blanc) en transit entre les applications Zoom, les clients et les connecteurs. Dans une réunion sans E2EE activé, le contenu audio et vidéo circulant entre les applications Zoom des utilisateurs n'est pas déchiffré tant qu'il n'a pas atteint les appareils des destinataires. Cependant, les clés de chiffrement de chaque réunion sont générées et gérées par les serveurs de Zoom. Lors d'une réunion avec E2EE activé, personne, à l'exception de chaque participant, pas même les serveurs de Zoom, n'a accès aux clés de chiffrement utilisées pour chiffrer la réunion.
  • Comment vérifier que ma réunion utilise le chiffrement de bout en bout ? Les participants peuvent rechercher un logo de bouclier vert dans le coin supérieur gauche de leur écran de réunion avec un cadenas au milieu pour indiquer que leur réunion utilise E2EE. Il ressemble à notre symbole de chiffrement GCM, mais la coche est remplacée par un verrou.


    Les participants verront également le code de sécurité du responsable de la réunion qu’ils peuvent utiliser pour vérifier la connexion sécurisée. L'hôte peut lire ce code à haute voix et tous les participants peuvent vérifier que leurs clients affichent le même code.



Source : Zoom

Voir aussi :

Zoom publie ses résultats trimestriels. Son chiffre d'affaires passe de 145 à 663 millions de dollars et le nombre d'entreprises de plus de 10 employés clientes de Zoom a été multiplié par cinq
Microsoft et Zoom rejoignent le mouvement de suspension du traitement des demandes de données provenant de Hong Kong, comme l'ont fait d'autres entreprises technologiques
Zoom cède à la censure en Chine, et travaille sur une nouvelle fonctionnalité, qui aidera Pékin à cibler les utilisateurs chinois
7  0 
Avatar de Bill Fassinou
Chroniqueur Actualités https://www.developpez.com
Le 04/04/2020 à 19:29
Certaines clés de chiffrement de Zoom sont transmises aux participants d'une réunion via des serveurs en Chine selon les chercheurs,
Zoom l'admet et s'explique

Zoom est une application de téléconférence dont la popularité a considérablement augmenté, étant donné qu'une grande partie du monde est soumise au travail à domicile. L'objectif global de conception de l'application semble être de réduire les frictions lors de la vidéoconférence et de faire en sorte que les choses fonctionnent « simplement ». La popularité de Zoom est montée en flèche depuis le début de la pandémie du Covid-19, mais beaucoup de choses semblent le rattraper à présent.

Les découvertes de failles de sécurité graves se multiplient et Zoom commence par être déprécié par certains patrons de la Tech et d’autres interdisent déjà son utilisation au sein de leurs organisations. Un ex-hacker de la NSA découvre une nouvelle faille de sécurité dans Zoom servant à prendre le contrôle des Mac, en particulier la webcam, le micro et l'accès "root". Selon des chercheurs de l'Université de Toronto, les réunions sur Zoom sont cryptées à l'aide d'un algorithme présentant des failles de sécurité graves et bien connues, et parfois à l'aide de clés émises par des serveurs en Chine, même lorsque les participants aux réunions se trouvent tous en Amérique du Nord.

Dans sa documentation, Zoom prétend utiliser un chiffrement, mais les chercheurs pensent le contraire

La documentation de Zoom prétend que l'application utilise le chiffrement AES-256 pour les réunions. Cependant, les chercheurs ont constaté que dans chaque réunion sur Zoom, une seule clé AES-128 est utilisée en mode ECB par tous les participants pour chiffrer et déchiffrer l'audio et la vidéo. L'utilisation du mode ECB n'est pas recommandée, car les modèles présents dans le texte en clair sont préservés pendant le chiffrement.


Selon les chercheurs, la documentation de Zoom contient un certain nombre d'affirmations peu claires sur le chiffrement proposé par la plateforme. Certaines documentations de Zoom (ainsi que l'application Zoom elle-même) affirment que Zoom offre une fonctionnalité de chiffrement de bout en bout pour les réunions. Toutefois, pour les chercheurs, le terme « chiffré de bout en bout » signifie que seules les parties à la communication peuvent y accéder (et pas les intermédiaires qui relaient la communication). Une autre documentation de Zoom indique que le logiciel de réunion de Zoom pour Windows, MacOS et Linux utilise par défaut le schéma standard TLS 1.2 pour le chiffrement du transport, bien qu'il semblerait que la plateforme n'utilise pas TLS.

Zoom admet que sa plateforme n'implémente pas actuellement le chiffrement de bout en bout

En réponse à cette confusion, dans un billet de blog a publié le premier avril dernier, Zoom apporte des explications sur son schéma de chiffrement. En gros, le billet de blog précise que Zoom n'implémente pas actuellement le chiffrement « de bout en bout », car pour la plupart des gens, le terme "chiffrement de bout en bout" décrit une situation dans laquelle tous les participants à la conférence (à l'exception de ceux qui se connectent via le réseau téléphonique public commuté) sont tenus d'utiliser le chiffrement de transport entre leurs appareils et les serveurs Zoom.

Pour les chercheurs, la définition de "chiffrement de bout en bout" de Zoom ne semble pas être une définition standard, même dans le domaine des solutions de vidéoconférence d'entreprise parce que Zoom n'implémente pas un véritable chiffrement de bout en bout, ils ont la capacité théorique de déchiffrer et de surveiller les appels Zoom. Néanmoins, Zoom mentionne qu'ils n'ont pas construit de mécanisme pour intercepter les réunions de leurs clients.

Zoom envoie certaines clés de chiffrement via des serveurs en Chine

Les clés AES-128, dont les chercheurs disent avoir vérifié qu'elles sont suffisantes pour déchiffrer les paquets Zoom interceptés dans le trafic Internet, semblent être générées par les serveurs Zoom et, dans certains cas, sont remises aux participants d'une réunion Zoom via des serveurs en Chine, même lorsque les participants des réunions sont en dehors de la Chine.

« Lors d'un test d'une réunion Zoom avec deux utilisateurs, l'un aux États-Unis et l'autre au Canada, nous avons constaté que la clé AES-128 pour le chiffrement et le déchiffrement de la conférence avait été envoyée à l'un des participants via TLS à partir d'un serveur Zoom apparemment situé à Pékin. Une analyse montre un total de cinq serveurs en Chine et 68 aux États-Unis qui exécutent apparemment le même logiciel de serveur Zoom. Nous pensons que les clés peuvent être distribuées via ces serveurs », selon les chercheurs.


Le logo de Zoom au-dessus du nom de l'une des entreprises de développement chinoises de Zoom, « Ruanshi Software Ltd.»

Cependant, le PDG de Zoom, Eric S Yuan, a déclaré que le routage des appels US via des serveurs chinois n'est pas la norme et ne s'est produit qu'en raison du trafic élevé. « Pendant les opérations normales, les clients Zoom tentent de se connecter à une série de centres de données principaux dans ou à proximité de la région d'un utilisateur, et si ces multiples tentatives de connexion échouent en raison d'une congestion du réseau ou d'autres problèmes, les clients atteindront deux centres de données secondaires à partir d'une liste de plusieurs centres de données secondaires comme pont de sauvegarde potentiel vers la plate-forme Zoom. Dans tous les cas, les clients Zoom reçoivent une liste de centres de données appropriés à leur région. Ce système est essentiel à la fiabilité des marques de Zoom, en particulier en cette période ».

Zoom, une société basée dans la Silicon Valley, semble détenir trois sociétés en Chine par le biais desquelles au moins 700 employés sont payés pour développer le logiciel Zoom. Ce serait apparemment un effort de Zoom pour éviter de payer des salaires aux Américains lors de la vente à des clients américains, augmentant ainsi leur marge bénéficiaire. Cependant, cela peut rendre Zoom sensible aux pressions des autorités chinoises.

Le procureur général de New York envoie une demande d'explication à Zoom

Lundi, le procureur général de New York, Letitia James, a envoyé une lettre à la société lui demandant de décrire les mesures qu'elle avait prises pour répondre aux problèmes de sécurité et s'adapter à l'augmentation du nombre d'utilisateurs. Dans la lettre, James a déclaré que Zoom avait été lent à traiter les failles de sécurité « qui pourraient permettre à des personnes malveillantes, entre autres, d'accéder subrepticement aux webcams ».

Un porte-parole de Zoom a déclaré qu'il prévoyait d'envoyer à James les informations demandées et de se conformer à la demande. « Zoom prend la confidentialité, la sécurité et la confiance de ses utilisateurs très au sérieux. Pendant la pandémie de Covid-19, nous travaillons sans relâche pour garantir que les hôpitaux, les universités, les écoles et les autres entreprises du monde entier puissent rester connectées et opérationnelles », a déclaré le porte-parole.

Sources : Zoom, Citizen Lab

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Un ancien hacker de la NSA découvre une faille dans Zoom permettant de prendre le contrôle des Mac, notamment la webcam, le micro et l'accès root, Elon Musk interdit à ses employés de l'utiliser

Facebook a développé une app mobile de reconnaissance faciale qui permettait d'identifier ses employés et leurs amis, en pointant le téléphone dans leur direction

Twitter permet maintenant d'utiliser l'authentification à deux facteurs sans numéro de téléphone, mais il faudra activer la confirmation via une application pour continuer à profiter de 2FA

Google va payer 1,5*million de dollars pour les exploits les plus critiques sur Android, dans le cadre de son programme Android Security Rewards

Facebook teste le mode concurrent, un ensemble de nouvelles fonctionnalités qui aident les apps React à rester réactives et à s'adapter de façon fluide aux capacités et au débit réseau de l'appareil
6  0 
Avatar de Bill Fassinou
Chroniqueur Actualités https://www.developpez.com
Le 18/06/2020 à 9:11
Zoom prévoit d'offrir à tous ses utilisateurs gratuits et payants E2EE, un chiffrement de bout en bout pour les appels vidéo,
une version d'essai commence en juillet

Zoom prévoit d'offrir à tous ses utilisateurs gratuit et payant un chiffrement de bout en bout pour les appels vidéo. Le projet de conception d'E2EE, le chiffrement de bout en bout de Zoom en question, a été publié le 22 mai dernier. Zoom annonce avoir collaboré avec des organisations des libertés civiles, des groupes de défense de la sécurité des enfants, des experts en chiffrement, des représentants du gouvernement et ses propres utilisateurs pour mettre en oeuvre E2EE.

Zoom annonce que la version bêta de la fonctionnalité E2EE commence en juillet 2020. Tous les utilisateurs de Zoom continueront d'utiliser le cryptage de transport AES 256 GCM comme cryptage par défaut, E2EE sera une fonctionnalité facultative car elle limite certaines fonctionnalités de réunion, telles que la possibilité d'inclure des lignes téléphoniques PSTN traditionnelles ou des systèmes de salle de conférence matérielle SIP / H.323. Les administrateurs de compte peuvent activer et désactiver E2EE au niveau du compte et du groupe.

La société, dont l'activité a explosé avec les mesures de distanciation contre le covid-19, forçant davantage de personnes à travailler à domicile, s'est transformée en un lieu de rencontre vidéo mondial à partir d'un outil de téléconférence orienté entreprise. Cependant, elle a également été critiquée pour des problèmes de confidentialité et de sécurité, et a fait l'objet de critiques pour avoir omis de divulguer que son service n'était pas entièrement crypté de bout en bout.

En effet, début avril, des chercheurs ont donné des détails sur deux bogues de sécurité découverts dans l'application Zoom. Le client Windows de Zoom perdait ses informations d'identification réseau, car l'application rendait les chemins d'accès aux fichiers UNC cliquables dans les fenêtres de discussion de groupe. Un rapport de The Intercept a également critiqué les pratiques de confidentialité de l’application de vidéoconférence pour avoir prétendument trompé les utilisateurs sur le chiffrement de bout en bout de la plateforme. Mais Zoom avait fini par admettre que l'E2EE n'était pas encore possible pour les réunions vidéo de Zoom et utilise plutôt le chiffrement TLS (Transport Layer Security).


Après une série de défaillances de sécurité, certaines institutions ont interdit l'utilisation de Zoom, la société basée en Californie a embauché en avril l'ancien directeur de la sécurité de Facebook Inc Alex Stamos et a déployé des mises à niveau majeures. Alex Stamos, ex-chef de la sécurité chez Facebook, avait publié plusieurs tweets, demandant notamment à Zoom d’être plus transparent et de lancer un plan de sécurité qui va durer 30 jours. Il a ensuite été contacté par Eric Yuan, le fondateur de Zoom, pour devenir consultant externe. « Je suis heureux de vous dire que je vais aider Zoom à mettre en place son programme de sécurité », a alors annoncé Stamos.

Hier, dans un billet de blog, le PDG de Zoom, Eric S. Yuan,a annoncé que Zoom a publié E2EE sur GitHub. « Nous sommes également heureux de partager que nous avons identifié une voie à suivre qui équilibre le droit légitime de tous les utilisateurs à la confidentialité et à la sécurité des utilisateurs sur notre plateforme. Cela nous permettra d'offrir E2EE en tant que fonctionnalité complémentaire avancée pour tous nos utilisateurs du monde entier - gratuits et payants - tout en conservant la capacité de prévenir et de combattre les abus sur notre plateforme », a-t-il ajouté.

Pour rendre cela possible, les utilisateurs Free / Basic cherchant à accéder à E2EE participeront à un processus unique qui invitera l'utilisateur à fournir des informations supplémentaires, telles que la vérification d'un numéro de téléphone via un message texte.

Source : Zoom

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Eric Yuan, le PDG et fondateur de Zoom, a gagné près de 4 milliards de dollars en l'espace de trois mois suite à l'explosion de l'utilisation de sa plateforme en pleine pandémie de coronavirus

Zoom divulguerait les adresses mail et photos des utilisateurs et permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus

Certaines clés de chiffrement de Zoom sont transmises aux participants d'une réunion via des serveurs en Chine selon les chercheurs, Zoom l'admet et s'explique

Zoom met à jour son logiciel pour améliorer la protection par mots de passe des vidéoconférences et pour sécuriser les enregistrements sur le cloud
6  0 
Avatar de Bill Fassinou
Chroniqueur Actualités https://www.developpez.com
Le 07/04/2020 à 21:37
Le Zoombombing, le fait de s'introduire dans les réunions publiques de Zoom sans y être invité, est un crime, pas une farce,
avertissent les autorités US

Zoom a très vite atteint la barre des 200 millions d’utilisateurs par jour pendant les trois derniers mois où la pandémie du Covid-19 force une bonne partie des travailleurs à exercer en télétravail. Toutefois, ce boom a aussi contribué à exposer au grand jour un nombre considérable de failles de sécurité dont souffre Zoom. L’une d’entre elles, connue sous le nom de Zoombombing, permet aux attaquants de s’introduire dans les appels vidéo d’autres utilisateurs sans y être invités. Pour lutter contre cela, l’État du Michigan a annoncé qu’il considère désormais cela comme un crime.

Le Zoombombing, qu'est-ce que c'est ?

Selon certains analystes, Zoom est actuellement l'application Apple et Android la plus populaire au monde, et son cours a plus que doublé depuis fin janvier, une hausse particulièrement impressionnante si l'on tient compte du krach boursier qui s'est également produit pendant cette période. Mais l’une des menaces qui pourraient le faire totalement plonger est le “Zoombombing”. D’où vient cette faille et comment les pirates l’exploitent-ils ? Cette faille aurait été découverte au même moment que celle qui avait frappé le client Mac de l’application en janvier dernier.

Cette vulnérabilité pouvait pousser les utilisateurs de Mac qui ont (ou ont déjà eu) Zoom installé sur leur appareil à se joindre à des réunions Zoom avec leurs caméras automatiquement activées. Au cours du mois de janvier, la société de cybersécurité Check Point a montré qu’un pirate peut générer facilement des numéros d'identification de réunion actifs, qu'il peut ensuite utiliser pour se joindre aux réunions si celles-ci n'étaient pas protégées par un mot de passe. Zoom a apporté un certain nombre de modifications pour résoudre le problème avec les Mac.


Cependant, la recommandation de Check Point qui demande que les réunions soient protégées par un mot de passe n’a pas été prise en compte par Zoom. Résultat, le Zoombombing a vu le jour et les appels vidéos peuvent rapidement être transformés en séance de visionnage de vidéos peu recommandables. Selon les informations sur le Zoombombing, les réunions publiques de Zoom sont rejointes par un troll qui diffuse des choses comme du porno et des images nazies au reste des participants. La seule façon d’arrêter la diffusion est de couper l’appel.

Il existe des moyens d'atténuer ce problème, comme la protection des réunions par un mot de passe ou la limitation du partage d'écran à l'hôte de la réunion. Mais le fait qu'il soit si facile pour quiconque de se joindre à une réunion publique de Zoom et de la perturber ensuite indique que les développeurs de l’application n'avaient pas prévu que les réunions pouvaient être perturbées à ce point. C’est une chose que toute personne ayant déjà utilisé Internet aurait dû prévoir. Plusieurs procureurs ont saisi Zoom pour savoir comment la société compte arranger la situation.

Le Zoombombing désormais considéré comme un crime dans certains États aux USA

Dans l’heure, d’autres États ont commencé par prendre des mesures pour lutter contre le Zoombombing en attendant que Zoom fasse un effort pour sécuriser au mieux son application. Le Zoombombing est désormais considéré comme un crime dans ces États. Vendredi passé, les procureurs fédéraux du Michigan ont averti le public à travers une déclaration que le Zoombombing n'est pas une plaisanterie bénigne, mais bien évidemment un crime. Les autorités étatiques ont mentionné que la décision découle d’une investigation menée par le FBI pendant la semaine écoulé.

« Les pirates informatiques perturbent les conférences et les salles de classe en ligne avec des images pornographiques et/ou haineuses et un langage menaçant », a déclaré le bureau du procureur américain pour le district Est du Michigan. « Toute personne qui pirate une téléconférence peut être accusée de délits d'État ou fédéraux », a ajouté le bureau. À en croire la note des procureurs, la sanction qui frappera un attaquant qui utilise le Zoombombing sera proportionnelle à la façon dont il s’est introduit dans la réunion et ce qu’il a fait pour la perturber.

Il faut savoir qu’il y a des réunions Zoom dites publiques, ce qui peut rendre difficile l'inculpation d'intrusion informatique. Mais, une personne pourrait quand même être poursuivie pour des choses qu'elle a dites ou faites pour perturber la réunion après l'avoir rejointe. Par ailleurs, il est possible de protéger les réunions grâce à un mot de passe. Cependant, il est totalement déconseillé d'annoncer les informations de connexion sur les médias sociaux ou d'autres canaux publics. La sanction d’une intrusion dans une vidéoconférence privée peut être très sévère.

« Vous trouvez que le Zoombombing est drôle ? Voyons à quel point c'est drôle après votre arrestation », a déclaré Matthew Schneider, avocat américain du Michigan, dans la note du vendredi. « Si vous interférez avec une téléconférence ou une réunion publique dans le Michigan, les forces de l'ordre fédérales, étatiques ou locales pourraient frapper à votre porte », a-t-il ajouté. Les autorités fédérales ont partagé dans la note quelques mesures pouvant être prises pour atténuer les impacts des menaces liées aux téléconférences :

  • ne pas rendre les réunions ou les cours publics. Dans Zoom, il existe deux options pour rendre une réunion privée. Exiger un mot de passe pour la réunion ou utiliser la fonction de salle d'attente et contrôler l'admission des invités ;
  • ne pas partager un lien menant vers une téléconférence ou une salle de classe dans un poste de média social accessible au public sans restriction. Fournissez directement le lien aux personnes qui sont concernées par la réunion ou par la classe ;
  • ne pas gérer les options de partage d'écran dans Zoom, changez le partage d'écran en “Hôte seulement” ;
  • s'assurer que les utilisateurs utilisent la version mise à jour des applications d'accès/réunion à distance. En janvier 2020, Zoom a mis à jour son logiciel. Dans cette mise à jour de sécurité, Zoom a ajouté des mots de passe par défaut pour les réunions et a désactivé la possibilité de rechercher aléatoirement les réunions auxquelles on souhaite participer ;
  • enfin, assurez-vous que la politique ou le guide de votre organisation en matière de télétravail répond aux exigences de sécurité physique et de sécurité de l'information.

Source : La note des procureurs

Et vous ?

Quel est votre avis sur le sujet ?
Partagez-vous le même point de vue que les procureurs ou pas ? Pourquoi ?

Voir aussi

Zoom annonce un gel des fonctionnalités pendant 90 jours pour résoudre les problèmes de confidentialité et de sécurité, alors que l'application a atteint 200 millions d'utilisateurs quotidiens

Les réunions sur Zoom ne supportent pas le chiffrement de bout en bout. Zoom a donc la capacité technique d'espionner les réunions vidéo privées

Un ancien hacker de la NSA découvre une faille dans Zoom permettant de prendre le contrôle des Mac, notamment la webcam, le micro et l'accès root. Elon Musk interdit à ses employés de l'utiliser

Zoom divulguerait les adresses mail et photos des utilisateurs et permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus
5  0 
Avatar de Bill Fassinou
Chroniqueur Actualités https://www.developpez.com
Le 10/11/2020 à 10:10
Zoom aurait menti aux utilisateurs sur le chiffrement de bout en bout pendant des années,
selon une plainte de la FTC

Zoom, le service de visioconférence qui a vu sa cote de popularité explosée avec la pandémie du Covid-19, fait face à de nouvelles allégations en matière de sécurité. Dans une plainte ce 9 novembre, la FTC (Federal Trade Commission) a accusé la société d'avoir trompé les utilisateurs sur le niveau de sécurité de la plateforme de réunion Zoom et a également injustement sapé une fonction de sécurité du navigateur Safari d'Apple. Zoom avait annoncé mi-octobre qu'il allait commencer à proposer le chiffrement de bout en bout sous forme de Technical Preview.

Zoom est l’un des grands bénéficiaires de cette pandémie : il a connu une hausse de son utilisation, en passant de 10 millions en décembre 2019 à 300 millions d'utilisateurs actifs par jour en avril 2020. Le revers de la médaille a été une attention particulière portée à l’application, notamment par les experts en sécurité et les régulateurs, dont la FTC. Ainsi, dès le mois de mars 2020, des bogues ont été relevés dans l'application et il a aussi été découvert que les réunions Zoom ne supportaient pas le chiffrement de bout en bout, ce qui donne la possibilité à l'entreprise d'espionner les réunions vidéo privées.



Zoom maintient les utilisateurs dans une marre de mensonge depuis 2016

« Depuis au moins 2016, Zoom a induit les utilisateurs en erreur en prétendant qu'il offrait "un chiffrement de bout en bout à 256 bits" pour sécuriser les communications des utilisateurs, alors qu'en fait il offrait un niveau de sécurité inférieur », a déclaré lundi la FTC dans l'annonce de sa plainte contre Zoom et de l'accord de principe. « Zoom a, en réalité, conservé les clés de chiffrement qui pouvaient lui permettre d'accéder au contenu des réunions de ses clients, et a sécurisé ses réunions Zoom, en partie, avec un niveau de cryptage inférieur à celui promis », a ajouté le régulateur.

Selon la plainte de la FTC, l'entreprise s'est jouée des utilisateurs de sa plateforme, pourtant importante pour leurs activités, alors qu'elle avait la possibilité et les moyens techniques pour mettre en place une sécurité à l'épreuve des espions. En outre, la FTC estime que les affirmations trompeuses de Zoom ont donné aux utilisateurs un faux sentiment de sécurité, en particulier pour ceux qui ont utilisé la plateforme de l'entreprise pour discuter de sujets sensibles, tels que la santé et les informations financières, pour ne citer que ceux-là.

Par exemple, Zoom a affirmé offrir un chiffrement de bout en bout dans ses guides de conformité à la HIPAA (Health Insurance Portability and Accountability Act) de juin 2016 et juillet 2017, qui étaient destinés aux utilisateurs du service de vidéoconférence dans le secteur de la santé. Dans de nombreux articles de blogue, Zoom a spécifiquement fait valoir son niveau de chiffrement comme une raison pour les clients et les clients potentiels d'utiliser les services de vidéoconférence de Zoom. Cela dit, dans tous les cas, il s'agit de déclarations trompeuses.

La plainte souligne aussi que Zoom a affirmé qu'il offrait un chiffrement de bout en bout dans un livre blanc de janvier 2019, dans un article de blog d'avril 2017 et dans des réponses directes aux demandes de clients et de clients potentiels. Toujours selon la plainte de la FTC, Zoom a également induit en erreur certains utilisateurs qui voulaient stocker des réunions enregistrées sur le stockage en ligne de l'entreprise en prétendant à tort que ces réunions étaient chiffrées immédiatement après la fin de la réunion.

Cependant, au lieu de cela, certains enregistrements auraient été stockés de façon non chiffrée pendant 60 jours sur les serveurs de Zoom avant d'être transférés sur son stockage en ligne sécurisé. Pour régler ces allégations, Zoom a accepté l'obligation d'établir et de mettre en œuvre un programme de sécurité complet, l'interdiction de toute fausse déclaration sur la vie privée et la sécurité, et d'autres mesures détaillées et spécifiques pour protéger sa base d'utilisateurs. Par exemple, Zoom doit :

  • évaluer et documenter annuellement tout risque potentiel de sécurité interne et externe et développer des moyens de protection contre de tels risques ;
  • mettre en œuvre un programme de gestion des vulnérabilités ;
  • déployer des mesures de protection telles que l'authentification à plusieurs facteurs pour se prémunir contre l'accès non autorisé à son réseau ;
  • instituer des contrôles de suppression des données ;
  • prendre des mesures pour empêcher l'utilisation d'identifiants d'utilisateur connus comme étant compromis.

En outre, le personnel de Zoom devra examiner toute mise à jour du logiciel pour détecter les failles de sécurité et s'assurer que les mises à jour n'entraveront pas les fonctions de sécurité de tiers. Par ailleurs, la résolution n'a pas de volet financier, mais le régulateur a déclaré que Zoom serait confrontée à des amendes pouvant aller jusqu'à 43 280 dollars pour chaque violation future de l'accord. En outre, l'action de la société, qui a fortement augmenté cette année, a chuté de plus de 13 % ce lundi en raison de la plainte de la FTC, pour atteindre 433 dollars.

La plainte et le règlement de la FTC couvrent également le déploiement controversé par Zoom du serveur Web ZoomOpener qui a contourné les protocoles de sécurité d'Apple sur les ordinateurs Mac. « Le serveur Web ZoomOpener a permis à Zoom de se lancer automatiquement et de joindre un utilisateur à une réunion en contournant la protection du navigateur Safari d'Apple qui protégeait les utilisateurs contre un type de logiciel malveillant courant », a déclaré la FTC. En effet, Zoom a "secrètement installé" le logiciel dans le cadre d'une mise à jour de Zoom pour Mac en juillet 2018.



Lorsqu'il a été découvert en juillet 2019, Apple a immédiatement publié une mise à jour pour supprimer le serveur des ordinateurs des victimes. « Sans le serveur ZoomOpener Web, le navigateur Safari aurait fourni aux utilisateurs une boîte d'avertissement, avant le lancement de l'application Zoom, qui demandait aux utilisateurs s'ils voulaient lancer l'application ». Selon le régulateur, le logiciel augmentait le risque de surveillance vidéo à distance par des étrangers et restait sur les ordinateurs des utilisateurs même après qu'ils ont supprimé l'application Zoom.

Une autre manœuvre que la FTC trouve plus inquiétante est le fait que le serveur Web ZoomOpener réinstallait automatiquement l'application Zoom, sans aucune action de l'utilisateur, dans certaines circonstances.

Les termes de l'accord avec Zoom divisent les représentants de la FTC

L'accord est soutenu par la majorité républicaine de la FTC (3 voix contre 2), mais les démocrates de la commission se sont opposés parce que l'accord ne prévoit pas de compensation pour les utilisateurs. « Aujourd'hui, la FTC a voté pour proposer un règlement avec Zoom qui suit une formule malheureuse de la FTC », a déclaré le commissaire démocrate de la FTC, Rohit Chopra. « L'accord ne prévoit aucune aide pour les utilisateurs concernés. Il ne fait rien pour les petites entreprises qui se sont appuyées sur les revendications de Zoom en matière de protection des données. Et il n'oblige pas Zoom à payer un centime. La Commission doit changer de cap ».

En effet, l'accord n'oblige pas Zoom à offrir des réparations, des remboursements, ni même d'avertir ses clients que les affirmations matérielles concernant la sécurité de ses services étaient fausses. « Cet échec de l'accord proposé ne rend pas service aux clients de Zoom et limite considérablement la valeur dissuasive de l'affaire. Bien que le règlement impose des obligations de sécurité, il n'inclut aucune exigence qui protège directement la vie privée des utilisateurs », a déclaré la commissaire démocrate Rebecca Kelly Slaughter.

De même, les termes de l'accord n'ordonnent pas clairement à Zoom de mettre en place un chiffrement de bout en bout pour les réunions sur sa plateforme. Toutefois, rappelons-le, Zoom a annoncé le mois dernier qu'il déployait un chiffrement de bout en bout dans un aperçu technique afin de recueillir les réactions des utilisateurs. Enfin, la proposition de règlement est soumise aux commentaires du public pendant 30 jours, après quoi la FTC votera pour la rendre définitive ou non. La période de consultation de 30 jours commencera dès que le règlement sera publié dans le registre fédéral.

L'entreprise devra également faire évaluer son programme de sécurité par des tiers une fois que le règlement sera finalisé et, par la suite, tous les deux ans. Zoom est soumis à cette obligation pendant les vingt prochaines années.

Sources : FTC, Plainte de la FTC (PDF)

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi

Les réunions sur Zoom ne supportent pas le chiffrement de bout en bout, Zoom a donc la capacité technique d'espionner les réunions vidéo privées

Zoom annonce qu'il va proposer le chiffrement de bout en bout sous forme de Technical Preview la semaine prochaine pour les clients de la version gratuite et payante

Zoom publie ses résultats trimestriels. Son chiffre d'affaires passe de 145 à 663 millions de dollars et le nombre d'entreprises de plus de 10 employés clientes de Zoom a été multiplié par cinq
5  0 
Avatar de Axel Lecomte
Chroniqueur Actualités https://www.developpez.com
Le 09/04/2020 à 8:59
Google interdit à ses employés d’utiliser Zoom dans le cadre professionnel,
suite aux scandales de sécurité qui secouent la plateforme de visioconférence

En ces temps de crise sanitaire, les outils de visioconférence sont de plus en plus utilisés par les entreprises et les organisations du monde entier pour les réunions. Si Google possède sa propre plateforme, Meet, la filiale d’Alphabet a constaté que ses employés utilisent de plus en plus Zoom pour travailler et socialiser, alors que l’outil est actuellement critiqué pour ses pratiques de collecte de données.


La semaine dernière, Google a alors envoyé un e-mail à ses employés qui ont installé Zoom dans leur ordinateur portable professionnel, indiquant que le logiciel présente des « vulnérabilités de sécurité » et que celui-ci cesserait de fonctionner sur ces appareils à partir de cette semaine.

« Nous avons depuis longtemps pour politique de ne pas autoriser les employés à utiliser des applications non approuvées pour un travail en dehors de notre réseau d’entreprises », explique Jose Castaneda, porte-parole de Google.

Ainsi, « les employés qui utilisent Zoom pour rester en contact avec leur famille et leurs amis peuvent continuer à le faire via un navigateur Web ou via un mobile », précise-t-il.

D’autres entreprises et organisations ont déjà pris la même décision

Google n’est pas la première société qui a interdit à ses employés d’utiliser la plateforme. Le 28 mars, SpaceX a par exemple envoyé un e-mail à ses employés, indiquant que l’accès à Zoom avait été désactivé et préconisant l’utilisation du courrier électronique, des SMS et de téléphone comme « moyens de communication alternatifs ».

Peu de temps après, Stephanie Schierholz, porte-parole de la NASA, a également déclaré que l’agence spatiale américaine allait emprunter le même chemin. S’ensuivent les déclarations du gouvernement taiwanais, du ministère de la Défense du Royaume-Uni ou de l’opérateur télécom philipin PLDT (Philippine Long Distance Telephone Company).

De son côté, le ministère allemand des Affaires étrangères a déclaré : « sur la base des rapports des médias et de nos propres conclusions, nous avons conclu que le logiciel Zoom présente des faiblesses critiques et de graves problèmes de sécurité et de protection des données ». Le ministère a ainsi décidé de bannir la plateforme de ces ordinateurs à connexion fixe. Il reconnaît toutefois que l’interdiction complète de l’utilisation de Zoom est impossible.

L’enseignement à distance étant préconisé à New York, Danielle Filson, porte-parole du département de l’éducation de la ville, a demandé aux écoles d’abandonner l’utilisation de Zoom « dès que possible » et de se tourner vers Microsoft Teams, qui, selon elle, a les « mêmes capacités avec des mesures de sécurité appropriées en place ». Le gouvernement suisse a également annoncé une mesure similaire, dans le cas où son fournisseur principal Skype Entreprise venait à être surchargé.

Zoom recrute l’ancien chef de la sécurité de Facebook suite à la décision de Google

Alex Stamos, ex-chef de la sécurité chez Facebook, avait récemment publié plusieurs tweets, demandant notamment à Zoom d’être plus transparent et de lancer un plan de sécurité qui va durer 30 jours. Il a ensuite été contacté par Eric Yuan, le fondateur de Zoom, pour devenir consultant externe. « Je suis heureux de vous dire que je vais aider Zoom à mettre en place son programme de sécurité », a alors annoncé Stamos.

Source : Reuters

Et vous ?

Que pensez-vous de cette affaire ?
Selon vous, pourquoi certaines entreprises et organisations décident-elles encore d'utiliser Zoom ?

Voir aussi :

Zoom poursuivi en justice par un de ses actionnaires pour non-divulgation des problèmes de confidentialité et de sécurité, la valeur de l'action de l'entreprise connait une baisse
Zoom annonce un gel des fonctionnalités pendant 90 jours pour résoudre les problèmes de confidentialité et de sécurité, alors que l'application a atteint 200 millions d'utilisateurs quotidiens
Le Zoombombing, le fait de s'introduire dans les réunions publiques de Zoom sans y être invité, est un crime, pas une farce, avertissent les autorités US
Skype introduit « Meet Now », une fonctionnalité de visioconférence sans obligation d'inscription, tout en misant sur certaines failles de sécurité constatées chez son concurrent Zoom
« Essayez ces outils logiciels libres pour garder le contact », propose la Free Software Foundation, comme meilleures alternatives à Zoom qui a mauvaise presse en matière de sécurité
3  0 
Avatar de Nancy Rey
Chroniqueuse Actualités https://www.developpez.com
Le 25/04/2020 à 6:53
Zoom passe le cap des 300 millions d’utilisateurs par jour et ses actions en bourse atteignent un record
en dépit du nombre croissant des organisations qui le bannissent

Zoom vient de dévoiler sa mise à jour 5.0, mettant en avant des améliorations de sécurité et a annoncé ce 22 avril avoir passé un nouveau seuil d’utilisateurs. 300 millions de personnes utilisent Zoom quotidiennement pour leurs réunions à distance. Les actions de Zoom, qui ont presque quintuplé depuis l'entrée en bourse de la société en mars 2020, ont augmenté de 12 % pour atteindre un record de 168,24 dollars jeudi dernier.

L’annonce a été faite par Éric Yuan, le directeur de la firme sur le blog de l’entreprise, dans le cadre d’une mise à jour du plan de sécurité de 90 jours de la plateforme.

Plusieurs entreprises interdisent l'utilisation de Zoom à leurs employés à cause des problèmes de sécurité

Le constructeur automobile allemand Daimler est la dernière entreprise en date à déclarer qu'elle interdit l'utilisation de Zoom pour tout contenu d'entreprise jusqu'à nouvel ordre. « Il y a des rapports sur les lacunes de sécurité et les défis concernant la protection des données de Zoom. Cela ne répond pas aux exigences de sécurité de notre entreprise. Par conséquent, nous pouvons confirmer que Daimler interdit l'utilisation de Zoom pour le contenu de l'entreprise jusqu'à nouvel ordre », a déclaré Christoph Sedlmayr, porte-parole de Mercedes-Benz Cars.

Bloomberg News a également rapporté que la société de technologie sans fil NXP avait interdit l'utilisation de l'application avec des parties externes, et que les employés de la société suédoise Ericsson avaient été avertis de ne pas l'utiliser. « Nous n'avons pas interdit aux employés d'utiliser un outil de collaboration, mais nous leur conseillons d'être prudents avec les outils de collaboration non approuvés en raison des risques de sécurité », a déclaré un porte-parole de Ericsson.

Zoom a été interdit par de nombreuses écoles du monde entier, par l'entreprise SpaceX de Elon Musk, par la banque asiatique Standard Chartered ainsi que par les gouvernements d'Allemagne, de Taïwan et de Singapour.

La popularité est restée malgré les multiples problèmes de sécurité

Un porte-parole de Zoom a rappelé que des entreprises du monde entier ont procédé à des évaluations exhaustives de la sécurité de sa plateforme et qu'elles utilisent ses services. Le confinement de millions de personnes dans le monde, dû au covid-19, a entraîné une croissance énorme de l'utilisation des plateformes comme Zoom, Skype ou l'application Teams de Microsoft.

La croissance de Zoom s'est accrue alors même qu'elle faisait face à des critiques de la part d'experts en cybersécurité et d'utilisateurs concernant des bogues dans ses codes et l'absence de chiffrement de bout en bout de ses sessions de chat.


Zoom 5.0 un chiffrement plus fort et des mots de passe pour rejoindre les conversations

L'ancien responsable de la sécurité de Facebook, Alex Stamos, et un certain nombre d'autres experts en sécurité ont été nommés pour s'attaquer à ces problèmes. Ils affirment que les incidents de zoombombing, où des personnes non invitées se sont introduites dans des réunions, ont été causés par des choix simples faits par certains des millions de nouveaux utilisateurs de l'application et que la société a pris des mesures raisonnables, notamment en donnant aux hôtes la possibilité de verrouiller les réunions et de restreindre ce que les participants peuvent faire.

Pour les entreprises clientes, cependant, la question du chiffrement et de savoir qui conserve les enregistrements ou peut écouter les appels est plus importante, que ce soit pour protéger des informations précieuses de l'entreprise ou pour respecter les obligations de confidentialité envers les clients.

Lea Kissner, l’ancienne responsable mondiale des technologies de protection de la vie privée chez Google, et aujourd'hui consultante en sécurité pour Zoom, a déclaré que le chiffrement GCM 256 bits qui sera introduit avec Zoom 5.0 la semaine prochaine est conforme à ce que d'autres entreprises du secteur utilisent. Tous les clients de Zoom passeront au nouveau mode cryptographique à partir du 30 mai, a déclaré Kissner.

Pour tenir compte des critiques selon lesquelles la société a fait passer certaines données par des serveurs chinois, Zoom a également déclaré qu'un administrateur de compte peut désormais choisir les régions des centres de données pour ses réunions.

Sources : Reuters, Zoom blog

Et vous ?

Que pensez-vous des nouvelles fonctionnalités de zoom 5.0 ?
Selon vous, sont-elles des réponses fiables aux différents problèmes de sécurité de Zoom ?

Voir aussi :

L'éditeur de l'application de vidéoconférence Zoom poursuivi en justice pour avoir transmis les données des utilisateurs à Facebook, via son SDK « Facebook Login »

Zoom annonce un gel des fonctionnalités pendant 90 jours pour résoudre les problèmes de confidentialité et de sécurité, alors que l'application a atteint 200 millions d'utilisateurs quotidiens

Les réunions sur Zoom ne supportent pas le chiffrement de bout en bout, Zoom a donc la capacité technique d'espionner les réunions vidéo privées

Certaines clés de chiffrement de Zoom sont transmises aux participants d'une réunion via des serveurs en Chine selon les chercheurs, Zoom l'admet et s'explique
3  0 
Avatar de Eric80
Membre averti https://www.developpez.com
Le 08/04/2020 à 15:17
Teams est utlisé depuis un bon moment déjà ds bcp d entreprises, donc il est probable que les failles de sécurités y soient analysées aussi depuis plus longtemps.

Je trouve hallucinant comment zoom est devenue LA plateforme en quelques semaines, et que tout le monde s'y met avec des failles aussi béantes que ce zoombombing.
Preuve que > 80% (à la louche) des utilisateurs ne se soucient guère des pbs de sécurité, car ils n y sont pas initiés.

QQues pistes sur la popularité de Zoom:
https://www.businessinsider.com/zoom...20-3?r=US&IR=T

Avec le renaming de Office 365 en Microsoft 365, Teams devient offert au gd public: probable que le succès de Zoom et surtout le confinement généralisé sont des motivations fortes pour MS de fournir Teams pour tous.
2  0 
Avatar de defZero
Membre extrêmement actif https://www.developpez.com
Le 10/11/2020 à 18:57
Petit rappel de bon sens : le chiffrement de bout en bout sert uniquement à protéger les éditeurs d'éventuelles poursuites judiciaires au cas où leur logiciel serait utilisé à mauvais escient.
Ils peuvent ainsi prétendre ne pas savoir ce qui se tramait sur leur plateforme.
On l'a vu avec Encrochat, il est techniquement et légalement possible d'intercepter les discussions qui transitent sur ces messageries en cas de besoin.
@Jeff_67
Sauf que le chiffrement de bout en bout "bien implémenté", devrait justement rendre impossible toute interception par un tiers puisqu'elle doit être faite en P2P entre les intervenants de la communication sans passer par un serveur centrale.
Le seule moyen de "percer" le chiffrement serait d'avoir la main sur l'un des intervenants de la communication qui doit bien détenir les clés de déchiffrements pour consulter les messages en clair.
Donc que ce soit techniquement ou légalement, c'est juste impossible de d’exiger d'un tiers d'intercepter les communications, puis qu’à la base il n'a aucun moyen d'y accéder en clair, si implémenté dans les règles sans portes dérobés et sans algo de cryptage troués.
2  0 
Avatar de el_slapper
Expert éminent sénior https://www.developpez.com
Le 08/04/2020 à 7:54
ma boite (américaine) vient de proscrire Zoom pour les communications internes. Je suppose que ce n'est pas un hasard. On utilise Teams- mais je ne sais pas si c'est plus sécurisé, ou si les failles ne sont pas encore connues...
1  0