IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Zoom annonce un gel des fonctionnalités pendant 90 jours pour résoudre les problèmes de confidentialité et de sécurité,
Alors que l'application a atteint 200 millions d'utilisateurs quotidiens

Le , par Stan Adkens

292PARTAGES

4  0 
L'application de vidéoconférence Zoom est devenue un moyen très populaire de rester en contact pour un monde de plus en plus isolé pendant la pandémie de coronavirus, tant pour des réunions personnelles que professionnelles. En même temps Zoom a été confronté à de nombreux problèmes de sécurité et de confidentialité ces dernières semaines, en raison de l'augmentation massive et imprévue de son utilisation, alors que le nombre de réunions en ligne augmente. Pour redonner confiance à ses utilisateurs, l’entreprise a publié un article de blog dans lequel elle s'est excusée pour les « problèmes imprévus » et a promis d'améliorer la situation.

L’application Zoom, destinée aux professionnels, comptait en décembre 2019 une dizaine de millions d'utilisateurs quotidiens. Mais en faveur de la pandémie du coronavirus, le service auparavant méconnu du grand public a connu une croissance fulgurante de ses utilisateurs multipliant par 20 le nombre pour atteindre 200 millions de personnes utilisant Zoom quotidiennement, d’après le PDG de Zoom, Eric S. Yuan. « En mars de cette année, nous avons atteint plus de 200 millions de participants aux réunions quotidiennes, qu'elles soient gratuites ou payantes », déclare Yuan.


« Notre plateforme a été conçue principalement pour les entreprises », explique Yuan. « Nous n'avons pas conçu le produit en pensant que, dans quelques semaines, chaque personne dans le monde travaillerait, étudierait et socialiserait soudainement à partir de chez elle. Nous avons maintenant un ensemble beaucoup plus large d'utilisateurs qui utilisent notre produit d'une myriade de façons inattendues, nous présentant des défis que nous n'avions pas prévus lors de la conception de la plateforme », lit-on dans l’article.

Ce faisant, l’entreprise fait désormais face à deux défis : le défi que représente la prise en charge de 200 millions d'utilisateurs journaliers, contre seulement 10 millions il y a quelques mois, mais aussi les problèmes de confidentialité et de sécurité qui ont été découverts récemment. Pour face à ces défis, Zoom gèle désormais ses mises à jour de fonctionnalités et se concentre plutôt sur ces problèmes.

« Au cours des 90 prochains jours, nous nous engageons à consacrer les ressources nécessaires pour mieux identifier, traiter et résoudre les problèmes de manière proactive », explique Yuan. « Nous nous sommes également engagés à faire preuve de transparence tout au long de ce processus ». Le PDG et fondateur de Zoom explique également comment l'entreprise a réagi à une augmentation massive du nombre d'utilisateurs et a promis de les résoudre.

Des problèmes révélés dans Zoom ces dernières semaines

Cette semaine, Patrick Wardle, un ex-hacker de la NSA, a découvert une nouvelle vulnérabilité qui permet aux pirates de prendre le contrôle de votre Mac, notamment la webcam, le microphone, et même l'accès root complet. Ce type de problème avait déjà été observé au sein de Zoom l’été dernier, mais Zoom avait annoncé avoir déployé un correctif pour résoudre le problème. Wardle a découvert qu'un attaquant local avec des privilèges d'utilisateur de bas niveau peut injecter du code malveillant dans l'installateur de Zoom pour obtenir le plus haut niveau de privilèges d'utilisateur, l'accès root.

Pas plus tard qu’hier, les chercheurs ont détaillé deux nouveaux bogues de sécurité découverts dans l'application Zoom. Le client Windows de Zoom perdait ses informations d'identification réseau, car l'application rendait les chemins d'accès aux fichiers UNC cliquables dans les fenêtres de discussion de groupe. Un rapport de The Intercept a également critiqué les pratiques de confidentialité de l’application de vidéoconférence pour avoir prétendument trompé les utilisateurs sur le chiffrement de bout en bout de la plateforme. Mais Zoom a fini par admettre que l'E2E n'est actuellement pas possible pour les réunions vidéo de Zoom et utilise plutôt le chiffrement TLS (Transport Layer Security).


Un autre problème auquel Zoom est confronté est la façon dont les nouveaux utilisateurs partagent les liens de réunions et de classes en ligne. Cette semaine, la division du FBI à Boston a mis en garde les écoles contre deux cas de "zoom-bombes" par des inconnus dans des salles de classe en ligne de deux lycées différents du Massachusetts. Selon le rapport du FBI Boston, dans un premier cas, un inconnu a crié des injures et a cité l'adresse du domicile de l'enseignant. Dans l'autre, le pirate informatique était visible par les élèves.

Le FBI a mis en garde les écoles contre le fait de rendre publiques des réunions ou des salles de classe et les a incitées à exiger un mot de passe pour les réunions. De plus, il leur a déconseillé de partager des liens vers des salles de classe sur des sites de médias sociaux accessibles au public.

Ces problèmes ont poussé certaines organisations à ne plus utiliser Zoom. SpaceX, qui a reconnu qu'un grand nombre de ses 6 000 employés avaient utilisé Zoom pour des réunions, a maintenant demandé à tous ses employés d'utiliser plutôt le courrier électronique, les SMS ou le téléphone en raison de « graves problèmes de confidentialité et de sécurité », selon un mémo vu par Reuters. L'agence spatiale américaine NASA a également interdit à ses employés d'utiliser Zoom.

Zoom a publié des correctifs de certains problèmes de sécurité signalés

Zoom a déjà pris des mesures pour répondre aux critiques qui lui ont été adressées. Eric Yuan, a souligné dans son article que l'entreprise avait publié une correction du problème des liens UNC dans le client Windows. Yuan dit également avoir publié des correctifs pour les problèmes MacOS signalés par Wardle. En outre, la société a supprimé la fonction de suivi de l'attention des participants et a supprimé le navigateur de vente de LinkedIn dans Zoom, qui, selon elle, divulguait inutilement des données.

L'entreprise a aussi mis à jour sa politique de confidentialité, retiré le SDK Facebook de son application iOS et tenté de résoudre le problème du "zoombombing". Yuan s'est excusé pour la confusion autour de son E2E, et nié avoir construit un mécanisme pour déchiffrer les réunions en direct à des fins d'interception légale.

Gel immédiat des mises à jour fonctionnalité et concentration sur les questions de sécurité et de confidentialité de Zoom

Selon le PDG de Zoom, toutes les ressources d'ingénierie de l’entreprise seront désormais consacrées aux questions de sécurité et de confidentialité, et la société prévoit un « examen complet » avec des tiers pour s'assurer qu'elle traite correctement la sécurité de ces nouveaux cas de consommateurs. Zoom s'engage également à publier un rapport de transparence afin de faire connaître le nombre de demandes de données d'utilisateurs émanant des forces de l'ordre et des gouvernements.

L’entreprise va « améliorer » également son programme de prime aux bogues, en consultant d'autres responsables de la sécurité de l'information dans l'industrie et en utilisant des tests d’intrusion pour identifier d'autres bogues de sécurité. À partir de la semaine prochaine, Yuan organisera un webinaire hebdomadaire, le mercredi, pour fournir des mises à jour sur la sécurité et la protection de la vie privée à la communauté Zoom.

Un chercheur en sécurité a apprécié la réponse de Zoom aux préoccupations de sécurité et confidentialité soulevées par les chercheurs et les utilisateurs :


D'autres meilleures alternatives à Zoom pour la vidéoconférence

Si des nouvelles récentes vous ont rendu hésitant à utiliser Zoom, ou si vous êtes dans l’attente que Zoom apporte des correctifs de sécurité et de confidentialité avant de l’utiliser à nouveau pour vos réunions ou vos classes en ligne, d'autres applications de vidéoconférence sont disponibles. Ces applications, ci-dessous, ont des versions gratuites et certaines offrent un accès temporaire à des fonctionnalités supplémentaires pour ceux qui travaillent actuellement à domicile ou qui souhaitent consulter leurs amis et leur famille en ligne.

La liste comprend des applications plus générales qui vous permettent de participer sans avoir à vous inscrire à l'application (à moins que vous ne soyez l'hôte), et exclut des applications comme Facebook, WhatsApp et FaceTime, qui vous permettent également de faire des chats vidéo, mais elles exigent soit que tous les participants soient membres (Facebook, WhatsApp), soit que vous utilisiez un type de dispositif spécifique (FaceTime, qui est réservé à Apple).

Il y a Skype avec sa fonction de vidéoconférence "Meet Now", Cisco Webex, Starleaf, Jitsi Meet, Slack et Microsoft Teams. Toutefois on est tenté de se demander comment Zoom est devenu le choix populaire depuis le début de l’année alors qu'il existe ces nombreuses alternatives. Plusieurs commentateurs répondent à cette question par « la facilité d’utilisation » de Zoom. « Oui, c'est essentiellement la facilité d'utilisation et aussi une faible barrière d'entrée. Tout le monde peut ouvrir un compte et le plan gratuit permet d'accueillir jusqu'à 100 participants », a écrit l’un d’entre eux. Et vous, à cause de la facilité d’utilisation, continuerez-vous à faire vos réunions sur Zoom malgré les préoccupations de confidentialité et sécurité ?

Sources : Zoom, FBI Boston, Tweet

Et vous ?

Que pensez-vous de la réponse de Zoom aux problèmes de sécurité et de confidentialité ?
Êtes-vous utilisateur de Zoom ? Pourquoi préférez-vous cette application ?
Allez-vous continuer à l’utiliser ou avez-vous opté pour une autre application à cause des problèmes de sécurité ?

Lire aussi

Les réunions sur Zoom ne supportent pas le chiffrement de bout en bout, Zoom a donc la capacité technique d'espionner les réunions vidéo privées
Un ancien hacker de la NSA découvre une faille dans Zoom permettant de prendre le contrôle des Mac, notamment la webcam, le micro et l'accès root, Elon Musk interdit à ses employés de l'utiliser
Microsoft sous pression pour améliorer la vidéo de Teams afin d'empêcher les clients de basculer vers Zoom, la vue 2×2 actuelle ne convenant plus alors que le nombre de réunions en ligne augmente
Zoom divulguerait les adresses mail et photos des utilisateurs, et permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Arb01s
Nouveau membre du Club https://www.developpez.com
Le 03/08/2021 à 21:22
Si on veut vraiment de la sécurité, on génère soi-même sa paire publique/privée, on se l'échange par un moyen détourné (pitié, pas en clair par mail), puis on utilise une solution de communication fiable (ProtonMail, Thunderbird, Jami (Ring), Mumble... du logiciel libre ou des acteurs étiques)
L'avantage justement du chiffrement asymétrique et des clés publiques et privées est que l'on peut s’échanger nos clés PUBLIQUES par un medium non chiffré, car c'est justement une clé publique. A contrario, la clef privée ne doit jamais être communiquée à personne, même à nos interlocuteurs de confiance.
4  0 
Avatar de Eric80
Membre confirmé https://www.developpez.com
Le 08/04/2020 à 15:17
Teams est utlisé depuis un bon moment déjà ds bcp d entreprises, donc il est probable que les failles de sécurités y soient analysées aussi depuis plus longtemps.

Je trouve hallucinant comment zoom est devenue LA plateforme en quelques semaines, et que tout le monde s'y met avec des failles aussi béantes que ce zoombombing.
Preuve que > 80% (à la louche) des utilisateurs ne se soucient guère des pbs de sécurité, car ils n y sont pas initiés.

QQues pistes sur la popularité de Zoom:
https://www.businessinsider.com/zoom...?r=US&IR=T

Avec le renaming de Office 365 en Microsoft 365, Teams devient offert au gd public: probable que le succès de Zoom et surtout le confinement généralisé sont des motivations fortes pour MS de fournir Teams pour tous.
2  0 
Avatar de defZero
Membre extrêmement actif https://www.developpez.com
Le 10/11/2020 à 18:57
Petit rappel de bon sens : le chiffrement de bout en bout sert uniquement à protéger les éditeurs d'éventuelles poursuites judiciaires au cas où leur logiciel serait utilisé à mauvais escient.
Ils peuvent ainsi prétendre ne pas savoir ce qui se tramait sur leur plateforme.
On l'a vu avec Encrochat, il est techniquement et légalement possible d'intercepter les discussions qui transitent sur ces messageries en cas de besoin.
@Jeff_67
Sauf que le chiffrement de bout en bout "bien implémenté", devrait justement rendre impossible toute interception par un tiers puisqu'elle doit être faite en P2P entre les intervenants de la communication sans passer par un serveur centrale.
Le seule moyen de "percer" le chiffrement serait d'avoir la main sur l'un des intervenants de la communication qui doit bien détenir les clés de déchiffrements pour consulter les messages en clair.
Donc que ce soit techniquement ou légalement, c'est juste impossible de d’exiger d'un tiers d'intercepter les communications, puis qu’à la base il n'a aucun moyen d'y accéder en clair, si implémenté dans les règles sans portes dérobés et sans algo de cryptage troués.
2  0 
Avatar de el_slapper
Expert éminent sénior https://www.developpez.com
Le 08/04/2020 à 7:54
ma boite (américaine) vient de proscrire Zoom pour les communications internes. Je suppose que ce n'est pas un hasard. On utilise Teams- mais je ne sais pas si c'est plus sécurisé, ou si les failles ne sont pas encore connues...
1  0 
Avatar de Jeff_67
Membre chevronné https://www.developpez.com
Le 11/11/2020 à 7:03
Citation Envoyé par defZero Voir le message
Sauf que le chiffrement de bout en bout "bien implémenté", devrait justement rendre impossible toute interception par un tiers puisqu'elle doit être faite en P2P entre les intervenants de la communication sans passer par un serveur centrale.
Le seule moyen de "percer" le chiffrement serait d'avoir la main sur l'un des intervenants de la communication qui doit bien détenir les clés de déchiffrements pour consulter les messages en clair.
Donc que ce soit techniquement ou légalement, c'est juste impossible de d’exiger d'un tiers d'intercepter les communications, puis qu’à la base il n'a aucun moyen d'y accéder en clair, si implémenté dans les règles sans portes dérobés et sans algo de cryptage troués.
En l’occurence, dans l’affaire Encrochat, la gendarmerie a eu légalement accès aux serveurs situés en France grâce à une commission rogatoire pour diffuser un malware et trouer la sécurité des terminaux à l’insu des usagers. Aux USA, c’est encore mieux, le Patriot Act peut contraindre les entreprises à trouer la sécurité de leurs logiciels avec interdiction de le dévoiler publiquement.
1  0 
Avatar de Jeff_67
Membre chevronné https://www.developpez.com
Le 10/11/2020 à 14:51
Petit rappel de bon sens : le chiffrement de bout en bout sert uniquement à protéger les éditeurs d'éventuelles poursuites judiciaires au cas où leur logiciel serait utilisé à mauvais escient. Ils peuvent ainsi prétendre ne pas savoir ce qui se tramait sur leur plateforme. On l'a vu avec Encrochat, il est techniquement et légalement possible d'intercepter les discussions qui transitent sur ces messageries en cas de besoin.
0  0 
Avatar de Steinvikel
Membre expert https://www.developpez.com
Le 13/11/2020 à 23:54
Citation Envoyé par defZero Voir le message
Sauf que le chiffrement de bout en bout "bien implémenté", devrait justement rendre impossible toute interception par un tiers puisqu'elle doit être faite en P2P entre les intervenants de la communication sans passer par un serveur centrale.
Le seule moyen de "percer" le chiffrement serait d'avoir la main sur l'un des intervenants de la communication qui doit bien détenir les clés de déchiffrements pour consulter les messages en clair.
Donc que ce soit techniquement ou légalement, c'est juste impossible de d’exiger d'un tiers d'intercepter les communications, puis qu’à la base il n'a aucun moyen d'y accéder en clair, si implémenté dans les règles sans portes dérobés et sans algo de cryptage troués.
En fait pas exactement. Le chiffrement est dit de bout en bout, mais puisque les 2 paires de clés publique/privé sont délivrées par l'éditeur, et utilisées par son outil, le tout à travers son infrastructure (service centralisé), au final ce n'est de bout en bout que jusqu'à ce qu'il décide d'utiliser les clés pour analyser la communication coté serveur avant de la router au destinataire... le trou de sécurité tient simplement du fait que le serveur qui route les paquets a connaissance des clés utilisées pour chiffrer comme pour déchiffrer.
C'est pareil pour les mail chiffrés de Google... ou n'importe quel mise en oeuvre de chiffrement qui s'appuie sur un service centralisé qui est en charge de générer lui-même les clés de chiffrement des 2 acteurs de la communication. Tout acteur vous prônant le contraire ne fait qu'émettre des promesses.

Si on veut vraiment de la sécurité, on génère soi-même sa paire publique/privée, on se l'échange par un moyen détourné (pitié, pas en clair par mail), puis on utilise une solution de communication fiable (ProtonMail, Thunderbird, Jami (Ring), Mumble... du logiciel libre ou des acteurs étiques)
0  0 
Avatar de p@radox
Membre du Club https://www.developpez.com
Le 05/08/2021 à 19:07
Citation Envoyé par Arb01s Voir le message
L'avantage justement du chiffrement asymétrique et des clés publiques et privées est que l'on peut s’échanger nos clés PUBLIQUES par un medium non chiffré, car c'est justement une clé publique. A contrario, la clef privée ne doit jamais être communiquée à personne, même à nos interlocuteurs de confiance.
oui et ajouterais que " une solution de communication fiable " n'est justement PAS l'email que ce soit proton ou gmail !
0  0 
Avatar de NicoTips
Candidat au Club https://www.developpez.com
Le 05/08/2021 à 20:05
Pour information, la NSA diffusé en novembre 2020 un comparatif de 17 solutions collaboratives, le problème de Zoom y est mentionné dans la table en page 5:
https://media.defense.gov/2020/Aug/1...L_20200814.PDF
On y découvre que peu de solutions proposent l'encryptage end-to-end.
0  0 
Avatar de gerard093
Membre actif https://www.developpez.com
Le 08/08/2021 à 10:02
J'ai été convié à deux réunions avec zoom, l'une dans le cadre de la présentation de formation à distance pendant le covid, la seconde pour le conseil en gestion personnelle. Ces deux réunions utilisaient zoom.

Après des difficultés de connexion, la conversation est devenue hachée. Puis mon poste a subi une attaque avec perte de contrôle clavier et souris. On peut donc suspecter une attaque par deni de service.

Dans chaque cas, ma participation aux réunions s'est soldée par un échec. Je suis utilisateur de firefox.

Pour l'instant zoom est la seule plate forme à m'avoir déçu.

Bon. En partant d'en bas, on ne peut que s'améliorer ...
0  0