Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Zoom annonce un gel des fonctionnalités pendant 90 jours pour résoudre les problèmes de confidentialité et de sécurité,
Alors que l'application a atteint 200 millions d'utilisateurs quotidiens

Le , par Stan Adkens

263PARTAGES

4  0 
L'application de vidéoconférence Zoom est devenue un moyen très populaire de rester en contact pour un monde de plus en plus isolé pendant la pandémie de coronavirus, tant pour des réunions personnelles que professionnelles. En même temps Zoom a été confronté à de nombreux problèmes de sécurité et de confidentialité ces dernières semaines, en raison de l'augmentation massive et imprévue de son utilisation, alors que le nombre de réunions en ligne augmente. Pour redonner confiance à ses utilisateurs, l’entreprise a publié un article de blog dans lequel elle s'est excusée pour les « problèmes imprévus » et a promis d'améliorer la situation.

L’application Zoom, destinée aux professionnels, comptait en décembre 2019 une dizaine de millions d'utilisateurs quotidiens. Mais en faveur de la pandémie du coronavirus, le service auparavant méconnu du grand public a connu une croissance fulgurante de ses utilisateurs multipliant par 20 le nombre pour atteindre 200 millions de personnes utilisant Zoom quotidiennement, d’après le PDG de Zoom, Eric S. Yuan. « En mars de cette année, nous avons atteint plus de 200 millions de participants aux réunions quotidiennes, qu'elles soient gratuites ou payantes », déclare Yuan.


« Notre plateforme a été conçue principalement pour les entreprises », explique Yuan. « Nous n'avons pas conçu le produit en pensant que, dans quelques semaines, chaque personne dans le monde travaillerait, étudierait et socialiserait soudainement à partir de chez elle. Nous avons maintenant un ensemble beaucoup plus large d'utilisateurs qui utilisent notre produit d'une myriade de façons inattendues, nous présentant des défis que nous n'avions pas prévus lors de la conception de la plateforme », lit-on dans l’article.

Ce faisant, l’entreprise fait désormais face à deux défis : le défi que représente la prise en charge de 200 millions d'utilisateurs journaliers, contre seulement 10 millions il y a quelques mois, mais aussi les problèmes de confidentialité et de sécurité qui ont été découverts récemment. Pour face à ces défis, Zoom gèle désormais ses mises à jour de fonctionnalités et se concentre plutôt sur ces problèmes.

« Au cours des 90 prochains jours, nous nous engageons à consacrer les ressources nécessaires pour mieux identifier, traiter et résoudre les problèmes de manière proactive », explique Yuan. « Nous nous sommes également engagés à faire preuve de transparence tout au long de ce processus ». Le PDG et fondateur de Zoom explique également comment l'entreprise a réagi à une augmentation massive du nombre d'utilisateurs et a promis de les résoudre.

Des problèmes révélés dans Zoom ces dernières semaines

Cette semaine, Patrick Wardle, un ex-hacker de la NSA, a découvert une nouvelle vulnérabilité qui permet aux pirates de prendre le contrôle de votre Mac, notamment la webcam, le microphone, et même l'accès root complet. Ce type de problème avait déjà été observé au sein de Zoom l’été dernier, mais Zoom avait annoncé avoir déployé un correctif pour résoudre le problème. Wardle a découvert qu'un attaquant local avec des privilèges d'utilisateur de bas niveau peut injecter du code malveillant dans l'installateur de Zoom pour obtenir le plus haut niveau de privilèges d'utilisateur, l'accès root.

Pas plus tard qu’hier, les chercheurs ont détaillé deux nouveaux bogues de sécurité découverts dans l'application Zoom. Le client Windows de Zoom perdait ses informations d'identification réseau, car l'application rendait les chemins d'accès aux fichiers UNC cliquables dans les fenêtres de discussion de groupe. Un rapport de The Intercept a également critiqué les pratiques de confidentialité de l’application de vidéoconférence pour avoir prétendument trompé les utilisateurs sur le chiffrement de bout en bout de la plateforme. Mais Zoom a fini par admettre que l'E2E n'est actuellement pas possible pour les réunions vidéo de Zoom et utilise plutôt le chiffrement TLS (Transport Layer Security).


Un autre problème auquel Zoom est confronté est la façon dont les nouveaux utilisateurs partagent les liens de réunions et de classes en ligne. Cette semaine, la division du FBI à Boston a mis en garde les écoles contre deux cas de "zoom-bombes" par des inconnus dans des salles de classe en ligne de deux lycées différents du Massachusetts. Selon le rapport du FBI Boston, dans un premier cas, un inconnu a crié des injures et a cité l'adresse du domicile de l'enseignant. Dans l'autre, le pirate informatique était visible par les élèves.

Le FBI a mis en garde les écoles contre le fait de rendre publiques des réunions ou des salles de classe et les a incitées à exiger un mot de passe pour les réunions. De plus, il leur a déconseillé de partager des liens vers des salles de classe sur des sites de médias sociaux accessibles au public.

Ces problèmes ont poussé certaines organisations à ne plus utiliser Zoom. SpaceX, qui a reconnu qu'un grand nombre de ses 6 000 employés avaient utilisé Zoom pour des réunions, a maintenant demandé à tous ses employés d'utiliser plutôt le courrier électronique, les SMS ou le téléphone en raison de « graves problèmes de confidentialité et de sécurité », selon un mémo vu par Reuters. L'agence spatiale américaine NASA a également interdit à ses employés d'utiliser Zoom.

Zoom a publié des correctifs de certains problèmes de sécurité signalés

Zoom a déjà pris des mesures pour répondre aux critiques qui lui ont été adressées. Eric Yuan, a souligné dans son article que l'entreprise avait publié une correction du problème des liens UNC dans le client Windows. Yuan dit également avoir publié des correctifs pour les problèmes MacOS signalés par Wardle. En outre, la société a supprimé la fonction de suivi de l'attention des participants et a supprimé le navigateur de vente de LinkedIn dans Zoom, qui, selon elle, divulguait inutilement des données.

L'entreprise a aussi mis à jour sa politique de confidentialité, retiré le SDK Facebook de son application iOS et tenté de résoudre le problème du "zoombombing". Yuan s'est excusé pour la confusion autour de son E2E, et nié avoir construit un mécanisme pour déchiffrer les réunions en direct à des fins d'interception légale.

Gel immédiat des mises à jour fonctionnalité et concentration sur les questions de sécurité et de confidentialité de Zoom

Selon le PDG de Zoom, toutes les ressources d'ingénierie de l’entreprise seront désormais consacrées aux questions de sécurité et de confidentialité, et la société prévoit un « examen complet » avec des tiers pour s'assurer qu'elle traite correctement la sécurité de ces nouveaux cas de consommateurs. Zoom s'engage également à publier un rapport de transparence afin de faire connaître le nombre de demandes de données d'utilisateurs émanant des forces de l'ordre et des gouvernements.

L’entreprise va « améliorer » également son programme de prime aux bogues, en consultant d'autres responsables de la sécurité de l'information dans l'industrie et en utilisant des tests d’intrusion pour identifier d'autres bogues de sécurité. À partir de la semaine prochaine, Yuan organisera un webinaire hebdomadaire, le mercredi, pour fournir des mises à jour sur la sécurité et la protection de la vie privée à la communauté Zoom.

Un chercheur en sécurité a apprécié la réponse de Zoom aux préoccupations de sécurité et confidentialité soulevées par les chercheurs et les utilisateurs :


D'autres meilleures alternatives à Zoom pour la vidéoconférence

Si des nouvelles récentes vous ont rendu hésitant à utiliser Zoom, ou si vous êtes dans l’attente que Zoom apporte des correctifs de sécurité et de confidentialité avant de l’utiliser à nouveau pour vos réunions ou vos classes en ligne, d'autres applications de vidéoconférence sont disponibles. Ces applications, ci-dessous, ont des versions gratuites et certaines offrent un accès temporaire à des fonctionnalités supplémentaires pour ceux qui travaillent actuellement à domicile ou qui souhaitent consulter leurs amis et leur famille en ligne.

La liste comprend des applications plus générales qui vous permettent de participer sans avoir à vous inscrire à l'application (à moins que vous ne soyez l'hôte), et exclut des applications comme Facebook, WhatsApp et FaceTime, qui vous permettent également de faire des chats vidéo, mais elles exigent soit que tous les participants soient membres (Facebook, WhatsApp), soit que vous utilisiez un type de dispositif spécifique (FaceTime, qui est réservé à Apple).

Il y a Skype avec sa fonction de vidéoconférence "Meet Now", Cisco Webex, Starleaf, Jitsi Meet, Slack et Microsoft Teams. Toutefois on est tenté de se demander comment Zoom est devenu le choix populaire depuis le début de l’année alors qu'il existe ces nombreuses alternatives. Plusieurs commentateurs répondent à cette question par « la facilité d’utilisation » de Zoom. « Oui, c'est essentiellement la facilité d'utilisation et aussi une faible barrière d'entrée. Tout le monde peut ouvrir un compte et le plan gratuit permet d'accueillir jusqu'à 100 participants », a écrit l’un d’entre eux. Et vous, à cause de la facilité d’utilisation, continuerez-vous à faire vos réunions sur Zoom malgré les préoccupations de confidentialité et sécurité ?

Sources : Zoom, FBI Boston, Tweet

Et vous ?

Que pensez-vous de la réponse de Zoom aux problèmes de sécurité et de confidentialité ?
Êtes-vous utilisateur de Zoom ? Pourquoi préférez-vous cette application ?
Allez-vous continuer à l’utiliser ou avez-vous opté pour une autre application à cause des problèmes de sécurité ?

Lire aussi

Les réunions sur Zoom ne supportent pas le chiffrement de bout en bout, Zoom a donc la capacité technique d'espionner les réunions vidéo privées
Un ancien hacker de la NSA découvre une faille dans Zoom permettant de prendre le contrôle des Mac, notamment la webcam, le micro et l'accès root, Elon Musk interdit à ses employés de l'utiliser
Microsoft sous pression pour améliorer la vidéo de Teams afin d'empêcher les clients de basculer vers Zoom, la vue 2×2 actuelle ne convenant plus alors que le nombre de réunions en ligne augmente
Zoom divulguerait les adresses mail et photos des utilisateurs, et permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Stéphane le calme
Chroniqueur Actualités https://www.developpez.com
Le 15/10/2020 à 14:06
Zoom annonce qu'il va proposer le chiffrement de bout en bout sous forme de Technical Preview la semaine prochaine,
pour les clients de la version gratuite et payante

Zoom a été l’un des grands bénéficiaires de cette pandémie : le service de visioconférence a vu son pic d’utilisation exploser au point de franchir la barre des 300 millions journaliers d’utilisateurs. Le revers de la médaille a été une attention particulière portée à l’application, notamment par des experts en sécurité. C’est dans ce contexte que des bogues ont été découverts, mais aussi le fait que les réunions Zoom ne supportaient pas le chiffrement de bout en bout.

Dans le livre blanc de Zoom, il existe une liste de « fonctionnalités de sécurité avant la réunion » disponibles pour l'hôte de la réunion qui commence par « Activer une réunion chiffrée de bout en bout (E2E) ». Plus loin dans le livre blanc, il est fait mention de « Sécuriser une réunion avec le chiffrement E2E » comme étant une « capacité de sécurité en réunion » disponible pour les hôtes de réunion. Lorsqu'un hôte démarre une réunion avec le paramètre « Exiger le chiffrement pour les points de terminaison tiers » activé, les participants voient un cadenas vert qui dit, « Zoom utilise une connexion chiffrée de bout en bout » lorsqu'ils passent la souris dessus.

Mais lorsque l’entreprise a été contactée pour savoir si les réunions vidéo sont réellement chiffrées de bout en bout, un porte-parole de Zoom a écrit : « Actuellement, il n'est pas possible d'activer le chiffrement E2E pour les réunions vidéo Zoom. Les réunions vidéo Zoom utilisent une combinaison de TCP et UDP. Les connexions TCP sont établies à l'aide de TLS et les connexions UDP sont chiffrées avec AES à l'aide d'une clé négociée sur une connexion TLS ».

Face à la réaction que cela a provoqué, l’entreprise a décidé de travailler sur ces points de sécurité. L’entreprise a d’abord rappelé que son offre était destinée principalement aux entreprises ; elle n’avait donc pas anticipé la popularité soudaine au sein des utilisateurs personnels.

Elle a proposé dans un premier temps une mise à jour de son application, Zoom 5.0. Cette dernière version s’est accompagnée de mesures de sécurité améliorées qui comprennent un chiffrement plus puissant, des mots de passe par défaut et une nouvelle icône pour un accès facile aux importants paramètres de sécurité. Ce service faisait appel à la norme de chiffrement AES 256 bits GCM. Bien qu’il ne s'agissait toujours pas d'un chiffrement de bout en bout, il venait rendre les réunions beaucoup plus sûres.

Puis Zoom a annoncé avoir fait l’acquisition de Keybase, dont l’équipe va apporter son expertise pour aider Zoom à construire un chiffrement de bout en bout pour ses vidéoconférences « qui pourront atteindre l'évolutivité actuelle de Zoom ».


Le chiffrement de bout en bout est déployé progressivement

Par le biais de Max Krohn, Head of Security Engineering chez Zoom, l'entreprise a annoncé déployer cette offre :

« Nous sommes ravis d'annoncer qu'à partir de la semaine prochaine, l'offre de chiffrement de bout en bout (E2EE) de Zoom sera disponible sous forme de technical preview, ce qui signifie que nous sollicitons de manière proactive les commentaires des utilisateurs pendant les 30 premiers jours. Les utilisateurs de Zoom - gratuits et payants - du monde entier peuvent accueillir jusqu'à 200 participants à une réunion E2EE sur Zoom, offrant une confidentialité et une sécurité accrues pour vos sessions Zoom.

« Nous avons annoncé en mai notre intention de créer une option de réunion chiffrée de bout en bout sur notre plateforme, en plus du chiffrement déjà puissant et des fonctionnalités de sécurité avancées de Zoom. Nous sommes heureux de déployer la première phase sur les quatre de notre offre E2EE, qui fournit des protections robustes pour aider à empêcher l'interception des clés de déchiffrement qui pourraient être utilisées pour surveiller le contenu des réunions. »

Il a précisé que le chiffrement de bout en bout de Zoom « utilise le même chiffrement GCM puissant que vous obtenez actuellement dans une réunion Zoom. La seule différence réside dans l'emplacement de ces clés de chiffrement ».


Dans les réunions classiques, le cloud de Zoom génère des clés de chiffrement et les distribue aux participants à la réunion à l'aide des applications Zoom lorsqu'ils se joignent. Avec l'E2EE de Zoom, l'hôte de la réunion génère des clés de chiffrement et utilise la cryptographie à clé publique pour distribuer ces clés aux autres participants à la réunion. Les serveurs de Zoom deviennent des relais inconscients et ne voient jamais les clés de chiffrement nécessaires pour déchiffrer le contenu de la réunion.

« Le chiffrement de bout en bout est un autre pas en avant pour faire de Zoom la plateforme de communication la plus sécurisée au monde », a déclaré Eric S. Yuan, PDG de Zoom. « Cette phase de notre offre E2EE offre la même sécurité que les plateformes de messagerie chiffrées de bout en bout existantes, mais avec la qualité vidéo et l'évolutivité qui ont fait de Zoom la solution de communication de choix pour des centaines de millions de personnes et les plus grandes entreprises du monde. »

Dans une foire à questions, l'éditeur a tenté d'apporter le plus d'éclaircissements possible aux utilisateurs. Par exemple :
  • Comment Zoom fournit-il un chiffrement de bout en bout ? L’offre E2EE de Zoom utilise la cryptographie à clé publique. En bref, les clés de chaque réunion Zoom sont générées par les machines des participants, et non par les serveurs de Zoom. Les données chiffrées relayées via les serveurs de Zoom sont indéchiffrables par Zoom, car les serveurs de Zoom ne disposent pas de la clé de déchiffrement nécessaire. Cette stratégie de gestion des clés est similaire à celle utilisée par la plupart des plateformes de messagerie chiffrées de bout en bout aujourd'hui.
  • Comment activer E2EE ? Les hôtes peuvent activer le paramètre E2EE au niveau du compte, du groupe et de l'utilisateur et peuvent être verrouillés au niveau du compte ou du groupe. Tous les participants doivent avoir le paramètre activé pour rejoindre une réunion E2EE. Dans la phase 1, tous les participants à la réunion doivent se joindre à partir du client de bureau Zoom, de l'application mobile ou des salons Zoom Room.
  • Ai-je accès à toutes les fonctionnalités d'une réunion Zoom régulière ? Pas tout de suite. L'activation de cette version d'E2EE de Zoom dans vos réunions désactive certaines fonctionnalités, notamment rejoindre la réunion avant l'hôte, l'enregistrement dans le cloud, le streaming, la transcription en direct, les Breakout Rooms, les sondages, le chat privé 1:1 et les réactions aux réunions.
  • Les utilisateurs gratuits de Zoom ont-ils accès au chiffrement de bout en bout ? Oui. Les comptes Zoom gratuits et payants qui se joignent à partir du client de bureau ou de l'application mobile de Zoom, ou d'une Zoom Room, peuvent héberger ou rejoindre une réunion E2EE.
  • En quoi est-ce différent du chiffrement GCM amélioré de Zoom ? Les réunions et webinaires Zoom utilisent par défaut le chiffrement GCM AES 256 bits pour le partage audio, vidéo et d'application (c'est-à-dire le partage d'écran, le tableau blanc) en transit entre les applications Zoom, les clients et les connecteurs. Dans une réunion sans E2EE activé, le contenu audio et vidéo circulant entre les applications Zoom des utilisateurs n'est pas déchiffré tant qu'il n'a pas atteint les appareils des destinataires. Cependant, les clés de chiffrement de chaque réunion sont générées et gérées par les serveurs de Zoom. Lors d'une réunion avec E2EE activé, personne, à l'exception de chaque participant, pas même les serveurs de Zoom, n'a accès aux clés de chiffrement utilisées pour chiffrer la réunion.
  • Comment vérifier que ma réunion utilise le chiffrement de bout en bout ? Les participants peuvent rechercher un logo de bouclier vert dans le coin supérieur gauche de leur écran de réunion avec un cadenas au milieu pour indiquer que leur réunion utilise E2EE. Il ressemble à notre symbole de chiffrement GCM, mais la coche est remplacée par un verrou.


    Les participants verront également le code de sécurité du responsable de la réunion qu’ils peuvent utiliser pour vérifier la connexion sécurisée. L'hôte peut lire ce code à haute voix et tous les participants peuvent vérifier que leurs clients affichent le même code.



Source : Zoom

Voir aussi :

Zoom publie ses résultats trimestriels. Son chiffre d'affaires passe de 145 à 663 millions de dollars et le nombre d'entreprises de plus de 10 employés clientes de Zoom a été multiplié par cinq
Microsoft et Zoom rejoignent le mouvement de suspension du traitement des demandes de données provenant de Hong Kong, comme l'ont fait d'autres entreprises technologiques
Zoom cède à la censure en Chine, et travaille sur une nouvelle fonctionnalité, qui aidera Pékin à cibler les utilisateurs chinois
7  0 
Avatar de Bill Fassinou
Chroniqueur Actualités https://www.developpez.com
Le 04/04/2020 à 19:29
Certaines clés de chiffrement de Zoom sont transmises aux participants d'une réunion via des serveurs en Chine selon les chercheurs,
Zoom l'admet et s'explique

Zoom est une application de téléconférence dont la popularité a considérablement augmenté, étant donné qu'une grande partie du monde est soumise au travail à domicile. L'objectif global de conception de l'application semble être de réduire les frictions lors de la vidéoconférence et de faire en sorte que les choses fonctionnent « simplement ». La popularité de Zoom est montée en flèche depuis le début de la pandémie du Covid-19, mais beaucoup de choses semblent le rattraper à présent.

Les découvertes de failles de sécurité graves se multiplient et Zoom commence par être déprécié par certains patrons de la Tech et d’autres interdisent déjà son utilisation au sein de leurs organisations. Un ex-hacker de la NSA découvre une nouvelle faille de sécurité dans Zoom servant à prendre le contrôle des Mac, en particulier la webcam, le micro et l'accès "root". Selon des chercheurs de l'Université de Toronto, les réunions sur Zoom sont cryptées à l'aide d'un algorithme présentant des failles de sécurité graves et bien connues, et parfois à l'aide de clés émises par des serveurs en Chine, même lorsque les participants aux réunions se trouvent tous en Amérique du Nord.

Dans sa documentation, Zoom prétend utiliser un chiffrement, mais les chercheurs pensent le contraire

La documentation de Zoom prétend que l'application utilise le chiffrement AES-256 pour les réunions. Cependant, les chercheurs ont constaté que dans chaque réunion sur Zoom, une seule clé AES-128 est utilisée en mode ECB par tous les participants pour chiffrer et déchiffrer l'audio et la vidéo. L'utilisation du mode ECB n'est pas recommandée, car les modèles présents dans le texte en clair sont préservés pendant le chiffrement.


Selon les chercheurs, la documentation de Zoom contient un certain nombre d'affirmations peu claires sur le chiffrement proposé par la plateforme. Certaines documentations de Zoom (ainsi que l'application Zoom elle-même) affirment que Zoom offre une fonctionnalité de chiffrement de bout en bout pour les réunions. Toutefois, pour les chercheurs, le terme « chiffré de bout en bout » signifie que seules les parties à la communication peuvent y accéder (et pas les intermédiaires qui relaient la communication). Une autre documentation de Zoom indique que le logiciel de réunion de Zoom pour Windows, MacOS et Linux utilise par défaut le schéma standard TLS 1.2 pour le chiffrement du transport, bien qu'il semblerait que la plateforme n'utilise pas TLS.

Zoom admet que sa plateforme n'implémente pas actuellement le chiffrement de bout en bout

En réponse à cette confusion, dans un billet de blog a publié le premier avril dernier, Zoom apporte des explications sur son schéma de chiffrement. En gros, le billet de blog précise que Zoom n'implémente pas actuellement le chiffrement « de bout en bout », car pour la plupart des gens, le terme "chiffrement de bout en bout" décrit une situation dans laquelle tous les participants à la conférence (à l'exception de ceux qui se connectent via le réseau téléphonique public commuté) sont tenus d'utiliser le chiffrement de transport entre leurs appareils et les serveurs Zoom.

Pour les chercheurs, la définition de "chiffrement de bout en bout" de Zoom ne semble pas être une définition standard, même dans le domaine des solutions de vidéoconférence d'entreprise parce que Zoom n'implémente pas un véritable chiffrement de bout en bout, ils ont la capacité théorique de déchiffrer et de surveiller les appels Zoom. Néanmoins, Zoom mentionne qu'ils n'ont pas construit de mécanisme pour intercepter les réunions de leurs clients.

Zoom envoie certaines clés de chiffrement via des serveurs en Chine

Les clés AES-128, dont les chercheurs disent avoir vérifié qu'elles sont suffisantes pour déchiffrer les paquets Zoom interceptés dans le trafic Internet, semblent être générées par les serveurs Zoom et, dans certains cas, sont remises aux participants d'une réunion Zoom via des serveurs en Chine, même lorsque les participants des réunions sont en dehors de la Chine.

« Lors d'un test d'une réunion Zoom avec deux utilisateurs, l'un aux États-Unis et l'autre au Canada, nous avons constaté que la clé AES-128 pour le chiffrement et le déchiffrement de la conférence avait été envoyée à l'un des participants via TLS à partir d'un serveur Zoom apparemment situé à Pékin. Une analyse montre un total de cinq serveurs en Chine et 68 aux États-Unis qui exécutent apparemment le même logiciel de serveur Zoom. Nous pensons que les clés peuvent être distribuées via ces serveurs », selon les chercheurs.


Le logo de Zoom au-dessus du nom de l'une des entreprises de développement chinoises de Zoom, « Ruanshi Software Ltd.»

Cependant, le PDG de Zoom, Eric S Yuan, a déclaré que le routage des appels US via des serveurs chinois n'est pas la norme et ne s'est produit qu'en raison du trafic élevé. « Pendant les opérations normales, les clients Zoom tentent de se connecter à une série de centres de données principaux dans ou à proximité de la région d'un utilisateur, et si ces multiples tentatives de connexion échouent en raison d'une congestion du réseau ou d'autres problèmes, les clients atteindront deux centres de données secondaires à partir d'une liste de plusieurs centres de données secondaires comme pont de sauvegarde potentiel vers la plate-forme Zoom. Dans tous les cas, les clients Zoom reçoivent une liste de centres de données appropriés à leur région. Ce système est essentiel à la fiabilité des marques de Zoom, en particulier en cette période ».

Zoom, une société basée dans la Silicon Valley, semble détenir trois sociétés en Chine par le biais desquelles au moins 700 employés sont payés pour développer le logiciel Zoom. Ce serait apparemment un effort de Zoom pour éviter de payer des salaires aux Américains lors de la vente à des clients américains, augmentant ainsi leur marge bénéficiaire. Cependant, cela peut rendre Zoom sensible aux pressions des autorités chinoises.

Le procureur général de New York envoie une demande d'explication à Zoom

Lundi, le procureur général de New York, Letitia James, a envoyé une lettre à la société lui demandant de décrire les mesures qu'elle avait prises pour répondre aux problèmes de sécurité et s'adapter à l'augmentation du nombre d'utilisateurs. Dans la lettre, James a déclaré que Zoom avait été lent à traiter les failles de sécurité « qui pourraient permettre à des personnes malveillantes, entre autres, d'accéder subrepticement aux webcams ».

Un porte-parole de Zoom a déclaré qu'il prévoyait d'envoyer à James les informations demandées et de se conformer à la demande. « Zoom prend la confidentialité, la sécurité et la confiance de ses utilisateurs très au sérieux. Pendant la pandémie de Covid-19, nous travaillons sans relâche pour garantir que les hôpitaux, les universités, les écoles et les autres entreprises du monde entier puissent rester connectées et opérationnelles », a déclaré le porte-parole.

Sources : Zoom, Citizen Lab

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Un ancien hacker de la NSA découvre une faille dans Zoom permettant de prendre le contrôle des Mac, notamment la webcam, le micro et l'accès root, Elon Musk interdit à ses employés de l'utiliser

Facebook a développé une app mobile de reconnaissance faciale qui permettait d'identifier ses employés et leurs amis, en pointant le téléphone dans leur direction

Twitter permet maintenant d'utiliser l'authentification à deux facteurs sans numéro de téléphone, mais il faudra activer la confirmation via une application pour continuer à profiter de 2FA

Google va payer 1,5*million de dollars pour les exploits les plus critiques sur Android, dans le cadre de son programme Android Security Rewards

Facebook teste le mode concurrent, un ensemble de nouvelles fonctionnalités qui aident les apps React à rester réactives et à s'adapter de façon fluide aux capacités et au débit réseau de l'appareil
6  0 
Avatar de Bill Fassinou
Chroniqueur Actualités https://www.developpez.com
Le 18/06/2020 à 9:11
Zoom prévoit d'offrir à tous ses utilisateurs gratuits et payants E2EE, un chiffrement de bout en bout pour les appels vidéo,
une version d'essai commence en juillet

Zoom prévoit d'offrir à tous ses utilisateurs gratuit et payant un chiffrement de bout en bout pour les appels vidéo. Le projet de conception d'E2EE, le chiffrement de bout en bout de Zoom en question, a été publié le 22 mai dernier. Zoom annonce avoir collaboré avec des organisations des libertés civiles, des groupes de défense de la sécurité des enfants, des experts en chiffrement, des représentants du gouvernement et ses propres utilisateurs pour mettre en oeuvre E2EE.

Zoom annonce que la version bêta de la fonctionnalité E2EE commence en juillet 2020. Tous les utilisateurs de Zoom continueront d'utiliser le cryptage de transport AES 256 GCM comme cryptage par défaut, E2EE sera une fonctionnalité facultative car elle limite certaines fonctionnalités de réunion, telles que la possibilité d'inclure des lignes téléphoniques PSTN traditionnelles ou des systèmes de salle de conférence matérielle SIP / H.323. Les administrateurs de compte peuvent activer et désactiver E2EE au niveau du compte et du groupe.

La société, dont l'activité a explosé avec les mesures de distanciation contre le covid-19, forçant davantage de personnes à travailler à domicile, s'est transformée en un lieu de rencontre vidéo mondial à partir d'un outil de téléconférence orienté entreprise. Cependant, elle a également été critiquée pour des problèmes de confidentialité et de sécurité, et a fait l'objet de critiques pour avoir omis de divulguer que son service n'était pas entièrement crypté de bout en bout.

En effet, début avril, des chercheurs ont donné des détails sur deux bogues de sécurité découverts dans l'application Zoom. Le client Windows de Zoom perdait ses informations d'identification réseau, car l'application rendait les chemins d'accès aux fichiers UNC cliquables dans les fenêtres de discussion de groupe. Un rapport de The Intercept a également critiqué les pratiques de confidentialité de l’application de vidéoconférence pour avoir prétendument trompé les utilisateurs sur le chiffrement de bout en bout de la plateforme. Mais Zoom avait fini par admettre que l'E2EE n'était pas encore possible pour les réunions vidéo de Zoom et utilise plutôt le chiffrement TLS (Transport Layer Security).


Après une série de défaillances de sécurité, certaines institutions ont interdit l'utilisation de Zoom, la société basée en Californie a embauché en avril l'ancien directeur de la sécurité de Facebook Inc Alex Stamos et a déployé des mises à niveau majeures. Alex Stamos, ex-chef de la sécurité chez Facebook, avait publié plusieurs tweets, demandant notamment à Zoom d’être plus transparent et de lancer un plan de sécurité qui va durer 30 jours. Il a ensuite été contacté par Eric Yuan, le fondateur de Zoom, pour devenir consultant externe. « Je suis heureux de vous dire que je vais aider Zoom à mettre en place son programme de sécurité », a alors annoncé Stamos.

Hier, dans un billet de blog, le PDG de Zoom, Eric S. Yuan,a annoncé que Zoom a publié E2EE sur GitHub. « Nous sommes également heureux de partager que nous avons identifié une voie à suivre qui équilibre le droit légitime de tous les utilisateurs à la confidentialité et à la sécurité des utilisateurs sur notre plateforme. Cela nous permettra d'offrir E2EE en tant que fonctionnalité complémentaire avancée pour tous nos utilisateurs du monde entier - gratuits et payants - tout en conservant la capacité de prévenir et de combattre les abus sur notre plateforme », a-t-il ajouté.

Pour rendre cela possible, les utilisateurs Free / Basic cherchant à accéder à E2EE participeront à un processus unique qui invitera l'utilisateur à fournir des informations supplémentaires, telles que la vérification d'un numéro de téléphone via un message texte.

Source : Zoom

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Eric Yuan, le PDG et fondateur de Zoom, a gagné près de 4 milliards de dollars en l'espace de trois mois suite à l'explosion de l'utilisation de sa plateforme en pleine pandémie de coronavirus

Zoom divulguerait les adresses mail et photos des utilisateurs et permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus

Certaines clés de chiffrement de Zoom sont transmises aux participants d'une réunion via des serveurs en Chine selon les chercheurs, Zoom l'admet et s'explique

Zoom met à jour son logiciel pour améliorer la protection par mots de passe des vidéoconférences et pour sécuriser les enregistrements sur le cloud
6  0 
Avatar de Bill Fassinou
Chroniqueur Actualités https://www.developpez.com
Le 07/04/2020 à 21:37
Le Zoombombing, le fait de s'introduire dans les réunions publiques de Zoom sans y être invité, est un crime, pas une farce,
avertissent les autorités US

Zoom a très vite atteint la barre des 200 millions d’utilisateurs par jour pendant les trois derniers mois où la pandémie du Covid-19 force une bonne partie des travailleurs à exercer en télétravail. Toutefois, ce boom a aussi contribué à exposer au grand jour un nombre considérable de failles de sécurité dont souffre Zoom. L’une d’entre elles, connue sous le nom de Zoombombing, permet aux attaquants de s’introduire dans les appels vidéo d’autres utilisateurs sans y être invités. Pour lutter contre cela, l’État du Michigan a annoncé qu’il considère désormais cela comme un crime.

Le Zoombombing, qu'est-ce que c'est ?

Selon certains analystes, Zoom est actuellement l'application Apple et Android la plus populaire au monde, et son cours a plus que doublé depuis fin janvier, une hausse particulièrement impressionnante si l'on tient compte du krach boursier qui s'est également produit pendant cette période. Mais l’une des menaces qui pourraient le faire totalement plonger est le “Zoombombing”. D’où vient cette faille et comment les pirates l’exploitent-ils ? Cette faille aurait été découverte au même moment que celle qui avait frappé le client Mac de l’application en janvier dernier.

Cette vulnérabilité pouvait pousser les utilisateurs de Mac qui ont (ou ont déjà eu) Zoom installé sur leur appareil à se joindre à des réunions Zoom avec leurs caméras automatiquement activées. Au cours du mois de janvier, la société de cybersécurité Check Point a montré qu’un pirate peut générer facilement des numéros d'identification de réunion actifs, qu'il peut ensuite utiliser pour se joindre aux réunions si celles-ci n'étaient pas protégées par un mot de passe. Zoom a apporté un certain nombre de modifications pour résoudre le problème avec les Mac.


Cependant, la recommandation de Check Point qui demande que les réunions soient protégées par un mot de passe n’a pas été prise en compte par Zoom. Résultat, le Zoombombing a vu le jour et les appels vidéos peuvent rapidement être transformés en séance de visionnage de vidéos peu recommandables. Selon les informations sur le Zoombombing, les réunions publiques de Zoom sont rejointes par un troll qui diffuse des choses comme du porno et des images nazies au reste des participants. La seule façon d’arrêter la diffusion est de couper l’appel.

Il existe des moyens d'atténuer ce problème, comme la protection des réunions par un mot de passe ou la limitation du partage d'écran à l'hôte de la réunion. Mais le fait qu'il soit si facile pour quiconque de se joindre à une réunion publique de Zoom et de la perturber ensuite indique que les développeurs de l’application n'avaient pas prévu que les réunions pouvaient être perturbées à ce point. C’est une chose que toute personne ayant déjà utilisé Internet aurait dû prévoir. Plusieurs procureurs ont saisi Zoom pour savoir comment la société compte arranger la situation.

Le Zoombombing désormais considéré comme un crime dans certains États aux USA

Dans l’heure, d’autres États ont commencé par prendre des mesures pour lutter contre le Zoombombing en attendant que Zoom fasse un effort pour sécuriser au mieux son application. Le Zoombombing est désormais considéré comme un crime dans ces États. Vendredi passé, les procureurs fédéraux du Michigan ont averti le public à travers une déclaration que le Zoombombing n'est pas une plaisanterie bénigne, mais bien évidemment un crime. Les autorités étatiques ont mentionné que la décision découle d’une investigation menée par le FBI pendant la semaine écoulé.

« Les pirates informatiques perturbent les conférences et les salles de classe en ligne avec des images pornographiques et/ou haineuses et un langage menaçant », a déclaré le bureau du procureur américain pour le district Est du Michigan. « Toute personne qui pirate une téléconférence peut être accusée de délits d'État ou fédéraux », a ajouté le bureau. À en croire la note des procureurs, la sanction qui frappera un attaquant qui utilise le Zoombombing sera proportionnelle à la façon dont il s’est introduit dans la réunion et ce qu’il a fait pour la perturber.

Il faut savoir qu’il y a des réunions Zoom dites publiques, ce qui peut rendre difficile l'inculpation d'intrusion informatique. Mais, une personne pourrait quand même être poursuivie pour des choses qu'elle a dites ou faites pour perturber la réunion après l'avoir rejointe. Par ailleurs, il est possible de protéger les réunions grâce à un mot de passe. Cependant, il est totalement déconseillé d'annoncer les informations de connexion sur les médias sociaux ou d'autres canaux publics. La sanction d’une intrusion dans une vidéoconférence privée peut être très sévère.

« Vous trouvez que le Zoombombing est drôle ? Voyons à quel point c'est drôle après votre arrestation », a déclaré Matthew Schneider, avocat américain du Michigan, dans la note du vendredi. « Si vous interférez avec une téléconférence ou une réunion publique dans le Michigan, les forces de l'ordre fédérales, étatiques ou locales pourraient frapper à votre porte », a-t-il ajouté. Les autorités fédérales ont partagé dans la note quelques mesures pouvant être prises pour atténuer les impacts des menaces liées aux téléconférences :

  • ne pas rendre les réunions ou les cours publics. Dans Zoom, il existe deux options pour rendre une réunion privée. Exiger un mot de passe pour la réunion ou utiliser la fonction de salle d'attente et contrôler l'admission des invités ;
  • ne pas partager un lien menant vers une téléconférence ou une salle de classe dans un poste de média social accessible au public sans restriction. Fournissez directement le lien aux personnes qui sont concernées par la réunion ou par la classe ;
  • ne pas gérer les options de partage d'écran dans Zoom, changez le partage d'écran en “Hôte seulement” ;
  • s'assurer que les utilisateurs utilisent la version mise à jour des applications d'accès/réunion à distance. En janvier 2020, Zoom a mis à jour son logiciel. Dans cette mise à jour de sécurité, Zoom a ajouté des mots de passe par défaut pour les réunions et a désactivé la possibilité de rechercher aléatoirement les réunions auxquelles on souhaite participer ;
  • enfin, assurez-vous que la politique ou le guide de votre organisation en matière de télétravail répond aux exigences de sécurité physique et de sécurité de l'information.

Source : La note des procureurs

Et vous ?

Quel est votre avis sur le sujet ?
Partagez-vous le même point de vue que les procureurs ou pas ? Pourquoi ?

Voir aussi

Zoom annonce un gel des fonctionnalités pendant 90 jours pour résoudre les problèmes de confidentialité et de sécurité, alors que l'application a atteint 200 millions d'utilisateurs quotidiens

Les réunions sur Zoom ne supportent pas le chiffrement de bout en bout. Zoom a donc la capacité technique d'espionner les réunions vidéo privées

Un ancien hacker de la NSA découvre une faille dans Zoom permettant de prendre le contrôle des Mac, notamment la webcam, le micro et l'accès root. Elon Musk interdit à ses employés de l'utiliser

Zoom divulguerait les adresses mail et photos des utilisateurs et permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus
5  0 
Avatar de Bill Fassinou
Chroniqueur Actualités https://www.developpez.com
Le 10/11/2020 à 10:10
Zoom aurait menti aux utilisateurs sur le chiffrement de bout en bout pendant des années,
selon une plainte de la FTC

Zoom, le service de visioconférence qui a vu sa cote de popularité explosée avec la pandémie du Covid-19, fait face à de nouvelles allégations en matière de sécurité. Dans une plainte ce 9 novembre, la FTC (Federal Trade Commission) a accusé la société d'avoir trompé les utilisateurs sur le niveau de sécurité de la plateforme de réunion Zoom et a également injustement sapé une fonction de sécurité du navigateur Safari d'Apple. Zoom avait annoncé mi-octobre qu'il allait commencer à proposer le chiffrement de bout en bout sous forme de Technical Preview.

Zoom est l’un des grands bénéficiaires de cette pandémie : il a connu une hausse de son utilisation, en passant de 10 millions en décembre 2019 à 300 millions d'utilisateurs actifs par jour en avril 2020. Le revers de la médaille a été une attention particulière portée à l’application, notamment par les experts en sécurité et les régulateurs, dont la FTC. Ainsi, dès le mois de mars 2020, des bogues ont été relevés dans l'application et il a aussi été découvert que les réunions Zoom ne supportaient pas le chiffrement de bout en bout, ce qui donne la possibilité à l'entreprise d'espionner les réunions vidéo privées.



Zoom maintient les utilisateurs dans une marre de mensonge depuis 2016

« Depuis au moins 2016, Zoom a induit les utilisateurs en erreur en prétendant qu'il offrait "un chiffrement de bout en bout à 256 bits" pour sécuriser les communications des utilisateurs, alors qu'en fait il offrait un niveau de sécurité inférieur », a déclaré lundi la FTC dans l'annonce de sa plainte contre Zoom et de l'accord de principe. « Zoom a, en réalité, conservé les clés de chiffrement qui pouvaient lui permettre d'accéder au contenu des réunions de ses clients, et a sécurisé ses réunions Zoom, en partie, avec un niveau de cryptage inférieur à celui promis », a ajouté le régulateur.

Selon la plainte de la FTC, l'entreprise s'est jouée des utilisateurs de sa plateforme, pourtant importante pour leurs activités, alors qu'elle avait la possibilité et les moyens techniques pour mettre en place une sécurité à l'épreuve des espions. En outre, la FTC estime que les affirmations trompeuses de Zoom ont donné aux utilisateurs un faux sentiment de sécurité, en particulier pour ceux qui ont utilisé la plateforme de l'entreprise pour discuter de sujets sensibles, tels que la santé et les informations financières, pour ne citer que ceux-là.

Par exemple, Zoom a affirmé offrir un chiffrement de bout en bout dans ses guides de conformité à la HIPAA (Health Insurance Portability and Accountability Act) de juin 2016 et juillet 2017, qui étaient destinés aux utilisateurs du service de vidéoconférence dans le secteur de la santé. Dans de nombreux articles de blogue, Zoom a spécifiquement fait valoir son niveau de chiffrement comme une raison pour les clients et les clients potentiels d'utiliser les services de vidéoconférence de Zoom. Cela dit, dans tous les cas, il s'agit de déclarations trompeuses.

La plainte souligne aussi que Zoom a affirmé qu'il offrait un chiffrement de bout en bout dans un livre blanc de janvier 2019, dans un article de blog d'avril 2017 et dans des réponses directes aux demandes de clients et de clients potentiels. Toujours selon la plainte de la FTC, Zoom a également induit en erreur certains utilisateurs qui voulaient stocker des réunions enregistrées sur le stockage en ligne de l'entreprise en prétendant à tort que ces réunions étaient chiffrées immédiatement après la fin de la réunion.

Cependant, au lieu de cela, certains enregistrements auraient été stockés de façon non chiffrée pendant 60 jours sur les serveurs de Zoom avant d'être transférés sur son stockage en ligne sécurisé. Pour régler ces allégations, Zoom a accepté l'obligation d'établir et de mettre en œuvre un programme de sécurité complet, l'interdiction de toute fausse déclaration sur la vie privée et la sécurité, et d'autres mesures détaillées et spécifiques pour protéger sa base d'utilisateurs. Par exemple, Zoom doit :

  • évaluer et documenter annuellement tout risque potentiel de sécurité interne et externe et développer des moyens de protection contre de tels risques ;
  • mettre en œuvre un programme de gestion des vulnérabilités ;
  • déployer des mesures de protection telles que l'authentification à plusieurs facteurs pour se prémunir contre l'accès non autorisé à son réseau ;
  • instituer des contrôles de suppression des données ;
  • prendre des mesures pour empêcher l'utilisation d'identifiants d'utilisateur connus comme étant compromis.

En outre, le personnel de Zoom devra examiner toute mise à jour du logiciel pour détecter les failles de sécurité et s'assurer que les mises à jour n'entraveront pas les fonctions de sécurité de tiers. Par ailleurs, la résolution n'a pas de volet financier, mais le régulateur a déclaré que Zoom serait confrontée à des amendes pouvant aller jusqu'à 43 280 dollars pour chaque violation future de l'accord. En outre, l'action de la société, qui a fortement augmenté cette année, a chuté de plus de 13 % ce lundi en raison de la plainte de la FTC, pour atteindre 433 dollars.

La plainte et le règlement de la FTC couvrent également le déploiement controversé par Zoom du serveur Web ZoomOpener qui a contourné les protocoles de sécurité d'Apple sur les ordinateurs Mac. « Le serveur Web ZoomOpener a permis à Zoom de se lancer automatiquement et de joindre un utilisateur à une réunion en contournant la protection du navigateur Safari d'Apple qui protégeait les utilisateurs contre un type de logiciel malveillant courant », a déclaré la FTC. En effet, Zoom a "secrètement installé" le logiciel dans le cadre d'une mise à jour de Zoom pour Mac en juillet 2018.



Lorsqu'il a été découvert en juillet 2019, Apple a immédiatement publié une mise à jour pour supprimer le serveur des ordinateurs des victimes. « Sans le serveur ZoomOpener Web, le navigateur Safari aurait fourni aux utilisateurs une boîte d'avertissement, avant le lancement de l'application Zoom, qui demandait aux utilisateurs s'ils voulaient lancer l'application ». Selon le régulateur, le logiciel augmentait le risque de surveillance vidéo à distance par des étrangers et restait sur les ordinateurs des utilisateurs même après qu'ils ont supprimé l'application Zoom.

Une autre manœuvre que la FTC trouve plus inquiétante est le fait que le serveur Web ZoomOpener réinstallait automatiquement l'application Zoom, sans aucune action de l'utilisateur, dans certaines circonstances.

Les termes de l'accord avec Zoom divisent les représentants de la FTC

L'accord est soutenu par la majorité républicaine de la FTC (3 voix contre 2), mais les démocrates de la commission se sont opposés parce que l'accord ne prévoit pas de compensation pour les utilisateurs. « Aujourd'hui, la FTC a voté pour proposer un règlement avec Zoom qui suit une formule malheureuse de la FTC », a déclaré le commissaire démocrate de la FTC, Rohit Chopra. « L'accord ne prévoit aucune aide pour les utilisateurs concernés. Il ne fait rien pour les petites entreprises qui se sont appuyées sur les revendications de Zoom en matière de protection des données. Et il n'oblige pas Zoom à payer un centime. La Commission doit changer de cap ».

En effet, l'accord n'oblige pas Zoom à offrir des réparations, des remboursements, ni même d'avertir ses clients que les affirmations matérielles concernant la sécurité de ses services étaient fausses. « Cet échec de l'accord proposé ne rend pas service aux clients de Zoom et limite considérablement la valeur dissuasive de l'affaire. Bien que le règlement impose des obligations de sécurité, il n'inclut aucune exigence qui protège directement la vie privée des utilisateurs », a déclaré la commissaire démocrate Rebecca Kelly Slaughter.

De même, les termes de l'accord n'ordonnent pas clairement à Zoom de mettre en place un chiffrement de bout en bout pour les réunions sur sa plateforme. Toutefois, rappelons-le, Zoom a annoncé le mois dernier qu'il déployait un chiffrement de bout en bout dans un aperçu technique afin de recueillir les réactions des utilisateurs. Enfin, la proposition de règlement est soumise aux commentaires du public pendant 30 jours, après quoi la FTC votera pour la rendre définitive ou non. La période de consultation de 30 jours commencera dès que le règlement sera publié dans le registre fédéral.

L'entreprise devra également faire évaluer son programme de sécurité par des tiers une fois que le règlement sera finalisé et, par la suite, tous les deux ans. Zoom est soumis à cette obligation pendant les vingt prochaines années.

Sources : FTC, Plainte de la FTC (PDF)

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi

Les réunions sur Zoom ne supportent pas le chiffrement de bout en bout, Zoom a donc la capacité technique d'espionner les réunions vidéo privées

Zoom annonce qu'il va proposer le chiffrement de bout en bout sous forme de Technical Preview la semaine prochaine pour les clients de la version gratuite et payante

Zoom publie ses résultats trimestriels. Son chiffre d'affaires passe de 145 à 663 millions de dollars et le nombre d'entreprises de plus de 10 employés clientes de Zoom a été multiplié par cinq
5  0 
Avatar de Axel Lecomte
Chroniqueur Actualités https://www.developpez.com
Le 09/04/2020 à 8:59
Google interdit à ses employés d’utiliser Zoom dans le cadre professionnel,
suite aux scandales de sécurité qui secouent la plateforme de visioconférence

En ces temps de crise sanitaire, les outils de visioconférence sont de plus en plus utilisés par les entreprises et les organisations du monde entier pour les réunions. Si Google possède sa propre plateforme, Meet, la filiale d’Alphabet a constaté que ses employés utilisent de plus en plus Zoom pour travailler et socialiser, alors que l’outil est actuellement critiqué pour ses pratiques de collecte de données.


La semaine dernière, Google a alors envoyé un e-mail à ses employés qui ont installé Zoom dans leur ordinateur portable professionnel, indiquant que le logiciel présente des « vulnérabilités de sécurité » et que celui-ci cesserait de fonctionner sur ces appareils à partir de cette semaine.

« Nous avons depuis longtemps pour politique de ne pas autoriser les employés à utiliser des applications non approuvées pour un travail en dehors de notre réseau d’entreprises », explique Jose Castaneda, porte-parole de Google.

Ainsi, « les employés qui utilisent Zoom pour rester en contact avec leur famille et leurs amis peuvent continuer à le faire via un navigateur Web ou via un mobile », précise-t-il.

D’autres entreprises et organisations ont déjà pris la même décision

Google n’est pas la première société qui a interdit à ses employés d’utiliser la plateforme. Le 28 mars, SpaceX a par exemple envoyé un e-mail à ses employés, indiquant que l’accès à Zoom avait été désactivé et préconisant l’utilisation du courrier électronique, des SMS et de téléphone comme « moyens de communication alternatifs ».

Peu de temps après, Stephanie Schierholz, porte-parole de la NASA, a également déclaré que l’agence spatiale américaine allait emprunter le même chemin. S’ensuivent les déclarations du gouvernement taiwanais, du ministère de la Défense du Royaume-Uni ou de l’opérateur télécom philipin PLDT (Philippine Long Distance Telephone Company).

De son côté, le ministère allemand des Affaires étrangères a déclaré : « sur la base des rapports des médias et de nos propres conclusions, nous avons conclu que le logiciel Zoom présente des faiblesses critiques et de graves problèmes de sécurité et de protection des données ». Le ministère a ainsi décidé de bannir la plateforme de ces ordinateurs à connexion fixe. Il reconnaît toutefois que l’interdiction complète de l’utilisation de Zoom est impossible.

L’enseignement à distance étant préconisé à New York, Danielle Filson, porte-parole du département de l’éducation de la ville, a demandé aux écoles d’abandonner l’utilisation de Zoom « dès que possible » et de se tourner vers Microsoft Teams, qui, selon elle, a les « mêmes capacités avec des mesures de sécurité appropriées en place ». Le gouvernement suisse a également annoncé une mesure similaire, dans le cas où son fournisseur principal Skype Entreprise venait à être surchargé.

Zoom recrute l’ancien chef de la sécurité de Facebook suite à la décision de Google

Alex Stamos, ex-chef de la sécurité chez Facebook, avait récemment publié plusieurs tweets, demandant notamment à Zoom d’être plus transparent et de lancer un plan de sécurité qui va durer 30 jours. Il a ensuite été contacté par Eric Yuan, le fondateur de Zoom, pour devenir consultant externe. « Je suis heureux de vous dire que je vais aider Zoom à mettre en place son programme de sécurité », a alors annoncé Stamos.

Source : Reuters

Et vous ?

Que pensez-vous de cette affaire ?
Selon vous, pourquoi certaines entreprises et organisations décident-elles encore d'utiliser Zoom ?

Voir aussi :

Zoom poursuivi en justice par un de ses actionnaires pour non-divulgation des problèmes de confidentialité et de sécurité, la valeur de l'action de l'entreprise connait une baisse
Zoom annonce un gel des fonctionnalités pendant 90 jours pour résoudre les problèmes de confidentialité et de sécurité, alors que l'application a atteint 200 millions d'utilisateurs quotidiens
Le Zoombombing, le fait de s'introduire dans les réunions publiques de Zoom sans y être invité, est un crime, pas une farce, avertissent les autorités US
Skype introduit « Meet Now », une fonctionnalité de visioconférence sans obligation d'inscription, tout en misant sur certaines failles de sécurité constatées chez son concurrent Zoom
« Essayez ces outils logiciels libres pour garder le contact », propose la Free Software Foundation, comme meilleures alternatives à Zoom qui a mauvaise presse en matière de sécurité
3  0 
Avatar de Nancy Rey
Chroniqueuse Actualités https://www.developpez.com
Le 25/04/2020 à 6:53
Zoom passe le cap des 300 millions d’utilisateurs par jour et ses actions en bourse atteignent un record
en dépit du nombre croissant des organisations qui le bannissent

Zoom vient de dévoiler sa mise à jour 5.0, mettant en avant des améliorations de sécurité et a annoncé ce 22 avril avoir passé un nouveau seuil d’utilisateurs. 300 millions de personnes utilisent Zoom quotidiennement pour leurs réunions à distance. Les actions de Zoom, qui ont presque quintuplé depuis l'entrée en bourse de la société en mars 2020, ont augmenté de 12 % pour atteindre un record de 168,24 dollars jeudi dernier.

L’annonce a été faite par Éric Yuan, le directeur de la firme sur le blog de l’entreprise, dans le cadre d’une mise à jour du plan de sécurité de 90 jours de la plateforme.

Plusieurs entreprises interdisent l'utilisation de Zoom à leurs employés à cause des problèmes de sécurité

Le constructeur automobile allemand Daimler est la dernière entreprise en date à déclarer qu'elle interdit l'utilisation de Zoom pour tout contenu d'entreprise jusqu'à nouvel ordre. « Il y a des rapports sur les lacunes de sécurité et les défis concernant la protection des données de Zoom. Cela ne répond pas aux exigences de sécurité de notre entreprise. Par conséquent, nous pouvons confirmer que Daimler interdit l'utilisation de Zoom pour le contenu de l'entreprise jusqu'à nouvel ordre », a déclaré Christoph Sedlmayr, porte-parole de Mercedes-Benz Cars.

Bloomberg News a également rapporté que la société de technologie sans fil NXP avait interdit l'utilisation de l'application avec des parties externes, et que les employés de la société suédoise Ericsson avaient été avertis de ne pas l'utiliser. « Nous n'avons pas interdit aux employés d'utiliser un outil de collaboration, mais nous leur conseillons d'être prudents avec les outils de collaboration non approuvés en raison des risques de sécurité », a déclaré un porte-parole de Ericsson.

Zoom a été interdit par de nombreuses écoles du monde entier, par l'entreprise SpaceX de Elon Musk, par la banque asiatique Standard Chartered ainsi que par les gouvernements d'Allemagne, de Taïwan et de Singapour.

La popularité est restée malgré les multiples problèmes de sécurité

Un porte-parole de Zoom a rappelé que des entreprises du monde entier ont procédé à des évaluations exhaustives de la sécurité de sa plateforme et qu'elles utilisent ses services. Le confinement de millions de personnes dans le monde, dû au covid-19, a entraîné une croissance énorme de l'utilisation des plateformes comme Zoom, Skype ou l'application Teams de Microsoft.

La croissance de Zoom s'est accrue alors même qu'elle faisait face à des critiques de la part d'experts en cybersécurité et d'utilisateurs concernant des bogues dans ses codes et l'absence de chiffrement de bout en bout de ses sessions de chat.


Zoom 5.0 un chiffrement plus fort et des mots de passe pour rejoindre les conversations

L'ancien responsable de la sécurité de Facebook, Alex Stamos, et un certain nombre d'autres experts en sécurité ont été nommés pour s'attaquer à ces problèmes. Ils affirment que les incidents de zoombombing, où des personnes non invitées se sont introduites dans des réunions, ont été causés par des choix simples faits par certains des millions de nouveaux utilisateurs de l'application et que la société a pris des mesures raisonnables, notamment en donnant aux hôtes la possibilité de verrouiller les réunions et de restreindre ce que les participants peuvent faire.

Pour les entreprises clientes, cependant, la question du chiffrement et de savoir qui conserve les enregistrements ou peut écouter les appels est plus importante, que ce soit pour protéger des informations précieuses de l'entreprise ou pour respecter les obligations de confidentialité envers les clients.

Lea Kissner, l’ancienne responsable mondiale des technologies de protection de la vie privée chez Google, et aujourd'hui consultante en sécurité pour Zoom, a déclaré que le chiffrement GCM 256 bits qui sera introduit avec Zoom 5.0 la semaine prochaine est conforme à ce que d'autres entreprises du secteur utilisent. Tous les clients de Zoom passeront au nouveau mode cryptographique à partir du 30 mai, a déclaré Kissner.

Pour tenir compte des critiques selon lesquelles la société a fait passer certaines données par des serveurs chinois, Zoom a également déclaré qu'un administrateur de compte peut désormais choisir les régions des centres de données pour ses réunions.

Sources : Reuters, Zoom blog

Et vous ?

Que pensez-vous des nouvelles fonctionnalités de zoom 5.0 ?
Selon vous, sont-elles des réponses fiables aux différents problèmes de sécurité de Zoom ?

Voir aussi :

L'éditeur de l'application de vidéoconférence Zoom poursuivi en justice pour avoir transmis les données des utilisateurs à Facebook, via son SDK « Facebook Login »

Zoom annonce un gel des fonctionnalités pendant 90 jours pour résoudre les problèmes de confidentialité et de sécurité, alors que l'application a atteint 200 millions d'utilisateurs quotidiens

Les réunions sur Zoom ne supportent pas le chiffrement de bout en bout, Zoom a donc la capacité technique d'espionner les réunions vidéo privées

Certaines clés de chiffrement de Zoom sont transmises aux participants d'une réunion via des serveurs en Chine selon les chercheurs, Zoom l'admet et s'explique
3  0 
Avatar de Eric80
Membre averti https://www.developpez.com
Le 08/04/2020 à 15:17
Teams est utlisé depuis un bon moment déjà ds bcp d entreprises, donc il est probable que les failles de sécurités y soient analysées aussi depuis plus longtemps.

Je trouve hallucinant comment zoom est devenue LA plateforme en quelques semaines, et que tout le monde s'y met avec des failles aussi béantes que ce zoombombing.
Preuve que > 80% (à la louche) des utilisateurs ne se soucient guère des pbs de sécurité, car ils n y sont pas initiés.

QQues pistes sur la popularité de Zoom:
https://www.businessinsider.com/zoom...20-3?r=US&IR=T

Avec le renaming de Office 365 en Microsoft 365, Teams devient offert au gd public: probable que le succès de Zoom et surtout le confinement généralisé sont des motivations fortes pour MS de fournir Teams pour tous.
2  0 
Avatar de defZero
Membre extrêmement actif https://www.developpez.com
Le 10/11/2020 à 18:57
Petit rappel de bon sens : le chiffrement de bout en bout sert uniquement à protéger les éditeurs d'éventuelles poursuites judiciaires au cas où leur logiciel serait utilisé à mauvais escient.
Ils peuvent ainsi prétendre ne pas savoir ce qui se tramait sur leur plateforme.
On l'a vu avec Encrochat, il est techniquement et légalement possible d'intercepter les discussions qui transitent sur ces messageries en cas de besoin.
@Jeff_67
Sauf que le chiffrement de bout en bout "bien implémenté", devrait justement rendre impossible toute interception par un tiers puisqu'elle doit être faite en P2P entre les intervenants de la communication sans passer par un serveur centrale.
Le seule moyen de "percer" le chiffrement serait d'avoir la main sur l'un des intervenants de la communication qui doit bien détenir les clés de déchiffrements pour consulter les messages en clair.
Donc que ce soit techniquement ou légalement, c'est juste impossible de d’exiger d'un tiers d'intercepter les communications, puis qu’à la base il n'a aucun moyen d'y accéder en clair, si implémenté dans les règles sans portes dérobés et sans algo de cryptage troués.
2  0 
Avatar de el_slapper
Expert éminent sénior https://www.developpez.com
Le 08/04/2020 à 7:54
ma boite (américaine) vient de proscrire Zoom pour les communications internes. Je suppose que ce n'est pas un hasard. On utilise Teams- mais je ne sais pas si c'est plus sécurisé, ou si les failles ne sont pas encore connues...
1  0