IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La dernière mise à jour majeure Zoom 5.0 annoncée avec un chiffrement amélioré,
Et plus d'options de sécurité

Le , par Stan Adkens

88PARTAGES

3  0 
Zoom a annoncé mercredi de nombreuses options d’améliorations de sécurité et de vie privée dans Zoom 5.0, la dernière mise à jour majeure, alors que l’entreprise n’est qu’à son premier mois de son plan de trois mois annoncé le 1er avril pour identifier, traiter et améliorer les capacités de sécurité et de confidentialité de sa plateforme de vidéoconférence. Dans un article de blog publié mercredi, l’entreprise dit avoir soumis son réseau, l'expérience utilisateur et toutes les fonctionnalités de son client de vidéoconférence à un examen rigoureux. Avec la prochaine version, les utilisateurs pourront bénéficier de l'ajout du chiffrement AES 256 bits GCM, ainsi que de la possibilité de choisir les options de routage des appels.

Zoom a été l'un des premiers bénéficiaires de la hausse de la demande des applications de vidéoconférence - la société est passée de 10 millions d'utilisateurs en décembre à plus de 200 millions en mars -, alors que le nombre de réunions et classes en ligne est en augmentation pour s’adapter à la période du Covid-19. Mais des problèmes de sécurité et de confidentialité, liés au fait que la plateforme n’était prête à accueillir autant d’utilisateurs, ont emmené l’entreprise à annoncer un gel des fonctionnalités pendant 90 jours pour résoudre ces problèmes.


La semaine dernière, l’éditeur de Zoom a annoncé une amélioration des capacités de mots de passe pour les réunions Zoom, les webinaires et les enregistrements dans le cloud. Cette semaine, Il a dévoilé plus de détails de la prochaine version majeure de sa plateforme Zoom qui permet de résoudre de nombreux problèmes de sécurité et de respect de la vie privée ayant fait l’objet de nombreux critiques ces dernières semaines.

Le PDG de la société, Eric S Yuan, a déclaré : « Je suis fier d'atteindre cette étape de notre plan de 90 jours, mais ce n'est que le début. Nous avons bâti notre entreprise en apportant du bonheur à nos clients. Nous allons gagner la confiance de nos clients et allons leur apporter le bonheur en nous concentrant sur la fourniture de la plateforme la plus sûre possible ».

Le passage au chiffrement AES 256 bits GCM est l’une des améliorations majeures dans le réseau Zoom. Ce changement permet de garantir la confidentialité et l'intégrité des données des réunions, des webinaires vidéo et des données des téléphones des utilisateurs de Zoom. Selon l’article de Zoom, la nouvelle norme de chiffrement dans Zoom 5.0, dont la sortie est prévue dans la semaine, prendra effet une fois que tous les comptes seront activés avec GCM. L'activation des comptes à l'échelle du système aura lieu le 30 mai.

Aussi, comme annoncé plus tôt ce mois, Zoom 5.0 présentera un bouton "Sécurité" réunissant toutes les fonctions liées. Oded Gal, directeur général de Zoom, a déclaré :

« Nous avons une vision globale de la vie privée de nos utilisateurs et de la sécurité de notre plateforme. De notre réseau à l'expérience utilisateur, en passant par nos fonctionnalités, tout est soumis à un examen rigoureux. En fin de compte, le chiffrement AES 256 bits GCM va relever la barre pour sécuriser les données de nos utilisateurs en transit. Au premier plan, je suis très enthousiaste au sujet de l'icône "Sécurité" dans la barre de menu de la réunion. Elle met nos dispositifs de sécurité, existants et nouveaux, au premier plan pour nos hôtes de réunion. Avec des millions de nouveaux utilisateurs, cela permettra de s'assurer qu'ils ont un accès instantané à des contrôles de sécurité importants dans leurs réunions ».

Une autre amélioration réseau dans la nouvelle version de Zoom, c’est la possibilité pour les comptes payants de choisir la région dans laquelle ils souhaitent que les données soient routées. Selon la société, l'administrateur du compte peut choisir les régions du centre de données que les réunions et webinaires hébergés par son compte utilisent pour le trafic en temps réel au niveau du compte, du groupe ou de l'utilisateur. Cette fonction est destinée à dissiper les craintes que les chats et les clefs de chiffrement de Zoom soient envoyés à des serveurs chinois que Zoom a admis plus tôt ce mois.


Des améliorations pour améliorer l’expérience et les contrôles de l’utilisateur

Icône de Sécurité : Les fonctions de sécurité de Zoom, qui étaient auparavant accessibles dans tous les menus de la réunion, sont maintenant regroupées et accessibles en cliquant sur l'icône de sécurité dans la barre de menu de la réunion sur l'interface de l'hôte.

Contrôles robustes de l'hôte : Les hôtes pourront "signaler un utilisateur" à Zoom via l'icône de Sécurité. Ils pourront également désactiver la possibilité pour les participants de se renommer. Pour les clients du secteur de l'éducation, le partage d'écran est désormais limité par défaut à l'hôte.

Salle d'attente activée par défaut : La salle d'attente, une fonction existante qui permet à un hôte de garder les participants dans des salles d'attente virtuelles individuelles avant qu'ils ne soient admis à une réunion, est maintenant activée par défaut pour les comptes Education, Basic et licence unique Pro. Tous les hôtes peuvent désormais également activer la salle d'attente pendant que leur réunion est déjà en cours.

Complexité du mot de passe pour les réunions et activation par défaut : Les mots de passe pour les réunions, une fonction existante de Zoom, est maintenant activée par défaut pour la plupart des clients, y compris tous les clients Basic, les clients à licence unique Pro et les clients Education du primaire au secondaire. Les administrateurs de compte ont maintenant la possibilité de définir la complexité des mots de passe (tels que la longueur, les caractères alphanumériques et les caractères spéciaux requis). En outre, les administrateurs de Zoom Phone peuvent désormais ajuster la longueur du code PIN nécessaire pour accéder à la messagerie vocale.

Enregistrement des mots de passe dans le cloud : Les mots de passe sont désormais définis par défaut pour tous ceux qui accèdent aux enregistrements dans le cloud, à l'exception de l'hôte de la réunion. Pour les comptes administrés, les administrateurs de compte ont maintenant la possibilité de définir la complexité du mot de passe.

Partage sécurisé des contacts de compte : Zoom 5.0 prendra en charge une nouvelle structure de données pour les grandes organisations, leur permettant de relier les contacts de plusieurs comptes afin que les personnes puissent facilement et en toute sécurité rechercher et trouver des réunions, des chats et des contacts téléphoniques.

Zoom n'est peut-être encore qu’au début de ses efforts, mais les changements annoncés et sa prompte réaction pour répondre aux questions de sécurité et de confidentialité sont bien appréciés. « Ils semblent vraiment écouter et travailler pour résoudre les plus grosses plaintes », a écrit un premier commentateur. Un autre, qui salue les changements, espère que Zoom se conformera réellement et entièrement au GDPR en respectant la vie privée des utilisateurs en Europe. « Cela concerne non seulement les données en transit qui ne quittent pas les centres de données européens de Zoom, mais aussi les données au repos qui doivent être stockées uniquement en Europe et efficacement chiffrées avec un algorithme AES 256 bits », a-t-il ajouté.

Source : Zoom

Et vous ?

Que pensez-vous des améliorations annoncées par Zoom ?
Êtes-vous utilisateur de Zoom ? Ces changements résolvent-ils l’ensemble des problèmes de sécurité et de confidentialité de la plateforme ?
Pensez-vous que la correction des faiblesses attirera davantage d’utilisateurs sur Zoom ?

Lire aussi

Certaines clefs de chiffrement de Zoom sont transmises aux participants d'une réunion via des serveurs en Chine selon les chercheurs, Zoom l'admet et s'explique
Zoom met à jour son logiciel pour améliorer la protection par mots de passe des vidéoconférences, et pour sécuriser les enregistrements sur le cloud
Zoom annonce un gel des fonctionnalités pendant 90 jours pour résoudre les problèmes de confidentialité et de sécurité, alors que l'application a atteint 200 millions d'utilisateurs quotidiens
Zoom poursuivi en justice par un de ses actionnaires pour non-divulgation des problèmes de confidentialité et de sécurité, la valeur de l'action de l'entreprise connait une baisse

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Arb01s
Nouveau membre du Club https://www.developpez.com
Le 03/08/2021 à 21:22
Si on veut vraiment de la sécurité, on génère soi-même sa paire publique/privée, on se l'échange par un moyen détourné (pitié, pas en clair par mail), puis on utilise une solution de communication fiable (ProtonMail, Thunderbird, Jami (Ring), Mumble... du logiciel libre ou des acteurs étiques)
L'avantage justement du chiffrement asymétrique et des clés publiques et privées est que l'on peut s’échanger nos clés PUBLIQUES par un medium non chiffré, car c'est justement une clé publique. A contrario, la clef privée ne doit jamais être communiquée à personne, même à nos interlocuteurs de confiance.
4  0 
Avatar de defZero
Membre extrêmement actif https://www.developpez.com
Le 10/11/2020 à 18:57
Petit rappel de bon sens : le chiffrement de bout en bout sert uniquement à protéger les éditeurs d'éventuelles poursuites judiciaires au cas où leur logiciel serait utilisé à mauvais escient.
Ils peuvent ainsi prétendre ne pas savoir ce qui se tramait sur leur plateforme.
On l'a vu avec Encrochat, il est techniquement et légalement possible d'intercepter les discussions qui transitent sur ces messageries en cas de besoin.
@Jeff_67
Sauf que le chiffrement de bout en bout "bien implémenté", devrait justement rendre impossible toute interception par un tiers puisqu'elle doit être faite en P2P entre les intervenants de la communication sans passer par un serveur centrale.
Le seule moyen de "percer" le chiffrement serait d'avoir la main sur l'un des intervenants de la communication qui doit bien détenir les clés de déchiffrements pour consulter les messages en clair.
Donc que ce soit techniquement ou légalement, c'est juste impossible de d’exiger d'un tiers d'intercepter les communications, puis qu’à la base il n'a aucun moyen d'y accéder en clair, si implémenté dans les règles sans portes dérobés et sans algo de cryptage troués.
2  0 
Avatar de Jeff_67
Membre chevronné https://www.developpez.com
Le 11/11/2020 à 7:03
Citation Envoyé par defZero Voir le message
Sauf que le chiffrement de bout en bout "bien implémenté", devrait justement rendre impossible toute interception par un tiers puisqu'elle doit être faite en P2P entre les intervenants de la communication sans passer par un serveur centrale.
Le seule moyen de "percer" le chiffrement serait d'avoir la main sur l'un des intervenants de la communication qui doit bien détenir les clés de déchiffrements pour consulter les messages en clair.
Donc que ce soit techniquement ou légalement, c'est juste impossible de d’exiger d'un tiers d'intercepter les communications, puis qu’à la base il n'a aucun moyen d'y accéder en clair, si implémenté dans les règles sans portes dérobés et sans algo de cryptage troués.
En l’occurence, dans l’affaire Encrochat, la gendarmerie a eu légalement accès aux serveurs situés en France grâce à une commission rogatoire pour diffuser un malware et trouer la sécurité des terminaux à l’insu des usagers. Aux USA, c’est encore mieux, le Patriot Act peut contraindre les entreprises à trouer la sécurité de leurs logiciels avec interdiction de le dévoiler publiquement.
1  0 
Avatar de Jeff_67
Membre chevronné https://www.developpez.com
Le 10/11/2020 à 14:51
Petit rappel de bon sens : le chiffrement de bout en bout sert uniquement à protéger les éditeurs d'éventuelles poursuites judiciaires au cas où leur logiciel serait utilisé à mauvais escient. Ils peuvent ainsi prétendre ne pas savoir ce qui se tramait sur leur plateforme. On l'a vu avec Encrochat, il est techniquement et légalement possible d'intercepter les discussions qui transitent sur ces messageries en cas de besoin.
0  0 
Avatar de Steinvikel
Membre expert https://www.developpez.com
Le 13/11/2020 à 23:54
Citation Envoyé par defZero Voir le message
Sauf que le chiffrement de bout en bout "bien implémenté", devrait justement rendre impossible toute interception par un tiers puisqu'elle doit être faite en P2P entre les intervenants de la communication sans passer par un serveur centrale.
Le seule moyen de "percer" le chiffrement serait d'avoir la main sur l'un des intervenants de la communication qui doit bien détenir les clés de déchiffrements pour consulter les messages en clair.
Donc que ce soit techniquement ou légalement, c'est juste impossible de d’exiger d'un tiers d'intercepter les communications, puis qu’à la base il n'a aucun moyen d'y accéder en clair, si implémenté dans les règles sans portes dérobés et sans algo de cryptage troués.
En fait pas exactement. Le chiffrement est dit de bout en bout, mais puisque les 2 paires de clés publique/privé sont délivrées par l'éditeur, et utilisées par son outil, le tout à travers son infrastructure (service centralisé), au final ce n'est de bout en bout que jusqu'à ce qu'il décide d'utiliser les clés pour analyser la communication coté serveur avant de la router au destinataire... le trou de sécurité tient simplement du fait que le serveur qui route les paquets a connaissance des clés utilisées pour chiffrer comme pour déchiffrer.
C'est pareil pour les mail chiffrés de Google... ou n'importe quel mise en oeuvre de chiffrement qui s'appuie sur un service centralisé qui est en charge de générer lui-même les clés de chiffrement des 2 acteurs de la communication. Tout acteur vous prônant le contraire ne fait qu'émettre des promesses.

Si on veut vraiment de la sécurité, on génère soi-même sa paire publique/privée, on se l'échange par un moyen détourné (pitié, pas en clair par mail), puis on utilise une solution de communication fiable (ProtonMail, Thunderbird, Jami (Ring), Mumble... du logiciel libre ou des acteurs étiques)
0  0 
Avatar de p@radox
Membre du Club https://www.developpez.com
Le 05/08/2021 à 19:07
Citation Envoyé par Arb01s Voir le message
L'avantage justement du chiffrement asymétrique et des clés publiques et privées est que l'on peut s’échanger nos clés PUBLIQUES par un medium non chiffré, car c'est justement une clé publique. A contrario, la clef privée ne doit jamais être communiquée à personne, même à nos interlocuteurs de confiance.
oui et ajouterais que " une solution de communication fiable " n'est justement PAS l'email que ce soit proton ou gmail !
0  0 
Avatar de NicoTips
Candidat au Club https://www.developpez.com
Le 05/08/2021 à 20:05
Pour information, la NSA diffusé en novembre 2020 un comparatif de 17 solutions collaboratives, le problème de Zoom y est mentionné dans la table en page 5:
https://media.defense.gov/2020/Aug/1...L_20200814.PDF
On y découvre que peu de solutions proposent l'encryptage end-to-end.
0  0 
Avatar de gerard093
Membre actif https://www.developpez.com
Le 08/08/2021 à 10:02
J'ai été convié à deux réunions avec zoom, l'une dans le cadre de la présentation de formation à distance pendant le covid, la seconde pour le conseil en gestion personnelle. Ces deux réunions utilisaient zoom.

Après des difficultés de connexion, la conversation est devenue hachée. Puis mon poste a subi une attaque avec perte de contrôle clavier et souris. On peut donc suspecter une attaque par deni de service.

Dans chaque cas, ma participation aux réunions s'est soldée par un échec. Je suis utilisateur de firefox.

Pour l'instant zoom est la seule plate forme à m'avoir déçu.

Bon. En partant d'en bas, on ne peut que s'améliorer ...
0  0