Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

L'éditeur de l'application de vidéoconférence Zoom retire le code du SDK Facebook de la version iOS
Car celui-ci transférait les données des utilisateurs vers le réseau social

Le , par Patrick Ruiz

298PARTAGES

12  0 
Ce changement intervient après des signalements que l'application Zoom pour iOS envoyait des informations d’analytique à Facebook lors de l’ouverture de l'application par les utilisateurs.

Vendredi, l'éditeur de l'application de vidéoconférence Zoom a publié une mise à jour de son application iOS qui empêche l'envoi de certaines données à Facebook. Cette décision fait suite à une analyse de l'application qui a révélé qu'elle envoyait au géant des réseaux sociaux des informations. Toutefois, la version de la politique de confidentialité de l’application Zoom au moment de l’analyse ne faisait pas mention de ce transfert de données vers Facebook, ce que l’éditeur a tenu à expliquer dans un billet de blog y relatif.



« Zoom prend la vie privée de ses utilisateurs très au sérieux. Nous aimerions vous faire part d'un changement que nous avons apporté concernant l'utilisation du SDK Facebook.

Nous avons initialement mis en place la fonctionnalité "se connecter via Facebook" en utilisant le SDK Facebook pour iOS afin de fournir à nos utilisateurs un autre moyen pratique d'accéder à notre plateforme. Cependant, nous avons été informés le mercredi 25 mars 2020 que le SDK de Facebook recueillait des informations non nécessaires à la fourniture de nos services. Les informations collectées par le SDK Facebook ne comprenaient pas d'informations et d'activités liées aux réunions telles que les participants, les noms, les notes, etc., mais plutôt des informations sur les appareils telles que le type et la version du système d'exploitation mobile, le fuseau horaire de l'appareil, le système d'exploitation de l'appareil, le modèle et l'opérateur de mobile de l'appareil, la taille de l'écran, les cœurs de processeur et l'espace disque.

La confidentialité de nos clients est incroyablement importante pour nous et c'est pourquoi nous avons décidé de supprimer le SDK Facebook de notre client iOS et avons reconfiguré la fonctionnalité afin que les utilisateurs puissent toujours se connecter à Facebook via leur navigateur. Les utilisateurs devront se mettre à jour avec la dernière version de notre application qui est déjà disponible à 14h30, heure du Pacifique, le vendredi 27 mars 2020, pour que ces changements soient effectifs et nous les encourageons vivement à le faire », précise-t-il.

Facebook offre un certain nombre d’outils technologiques pour les développeurs de logiciels et l’un des plus populaires est Facebook Login au centre de la note d’information de l’éditeur de l’application Zoom. Facebook Login permet aux internautes de se connecter à un site Web ou une application en utilisant les informations de connexion à leur compte Facebook, ce qui évite d’en créer de nouvelles. Les internautes s’en servent probablement parce que l’outil est facile d’utilisation (en deux clics, ils peuvent se connecter à une application) et élimine le besoin de se souvenir d'une nouvelle combinaison pseudo/mot de passe.

En 2015, un professeur de l’université de Cambridge du nom d’Aleksandr Kogan a créé une application appelée « thisisyourdigitallife » qui s’appuyait sur Facebook Login. Quelque 270 000 personnes en avaient fait usage (de Facebook Login) pour créer des comptes sur son application. Trois ans plus tard, le scandale Cambridge Analytica éclatait révélant la divulgation des données personnelles d’une cinquantaine de millions d’utilisateurs du réseau social (Facebook).

Le parallèle importe quand on sait que du scandale Cambridge Analytica à l’affaire Zoom le dénominateur commun d’un point de vue technique est que le développeur qui choisit de faire usage de Facebook Login dispose de certains droits d’accès (offerts par les responsables du réseau social) aux données des utilisateurs. À l’époque du scandale Cambridge Analytica, l’ouverture avait été telle qu’à partir des données des 270 000 premiers utilisateurs, Aleksandr Kogan avait pu être entré en possession de celles de leur réseau d’amis. Depuis, le niveau de détail avec lequel des développeurs tiers peuvent entrer en possession des données personnelles se serait resserré, mais l'utilisation de Facebook Login reste l’un des moyens dont les développeurs tiers se servent pour recueillir des données d’analyse de leur audience.

Source : blog Zoom

Et vous ?

Qu’en pensez-vous ?
L’éditeur de Zoom a-t-il décidé de retirer le SDK de son client simplement pour éviter d’avoir mauvaise presse ? Dispose-t-il d'autres moyens furtifs pour entrer en possession de ces données ?

Voir aussi :

Facebook a développé une app mobile de reconnaissance faciale qui permettait d'identifier ses employés et leurs amis, en pointant le téléphone dans leur direction
Twitter permet maintenant d'utiliser l'authentification à deux facteurs sans numéro de téléphone, mais il faudra activer la confirmation via une application pour continuer à profiter de 2FA
Google va payer 1,5*million de dollars pour les exploits les plus critiques sur Android, dans le cadre de son programme Android Security Rewards
Facebook teste le mode concurrent, un ensemble de nouvelles fonctionnalités qui aident les apps React à rester réactives et à s'adapter de façon fluide aux capacités et au débit réseau de l'appareil
USA*: deux anciens employés de Twitter accusé d'avoir profité de leur position dans la structure pour espionner des opposants au régime saoudien

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Bill Fassinou
Chroniqueur Actualités https://www.developpez.com
Le 04/04/2020 à 19:29
Certaines clés de chiffrement de Zoom sont transmises aux participants d'une réunion via des serveurs en Chine selon les chercheurs,
Zoom l'admet et s'explique

Zoom est une application de téléconférence dont la popularité a considérablement augmenté, étant donné qu'une grande partie du monde est soumise au travail à domicile. L'objectif global de conception de l'application semble être de réduire les frictions lors de la vidéoconférence et de faire en sorte que les choses fonctionnent « simplement ». La popularité de Zoom est montée en flèche depuis le début de la pandémie du Covid-19, mais beaucoup de choses semblent le rattraper à présent.

Les découvertes de failles de sécurité graves se multiplient et Zoom commence par être déprécié par certains patrons de la Tech et d’autres interdisent déjà son utilisation au sein de leurs organisations. Un ex-hacker de la NSA découvre une nouvelle faille de sécurité dans Zoom servant à prendre le contrôle des Mac, en particulier la webcam, le micro et l'accès "root". Selon des chercheurs de l'Université de Toronto, les réunions sur Zoom sont cryptées à l'aide d'un algorithme présentant des failles de sécurité graves et bien connues, et parfois à l'aide de clés émises par des serveurs en Chine, même lorsque les participants aux réunions se trouvent tous en Amérique du Nord.

Dans sa documentation, Zoom prétend utiliser un chiffrement, mais les chercheurs pensent le contraire

La documentation de Zoom prétend que l'application utilise le chiffrement AES-256 pour les réunions. Cependant, les chercheurs ont constaté que dans chaque réunion sur Zoom, une seule clé AES-128 est utilisée en mode ECB par tous les participants pour chiffrer et déchiffrer l'audio et la vidéo. L'utilisation du mode ECB n'est pas recommandée, car les modèles présents dans le texte en clair sont préservés pendant le chiffrement.


Selon les chercheurs, la documentation de Zoom contient un certain nombre d'affirmations peu claires sur le chiffrement proposé par la plateforme. Certaines documentations de Zoom (ainsi que l'application Zoom elle-même) affirment que Zoom offre une fonctionnalité de chiffrement de bout en bout pour les réunions. Toutefois, pour les chercheurs, le terme « chiffré de bout en bout » signifie que seules les parties à la communication peuvent y accéder (et pas les intermédiaires qui relaient la communication). Une autre documentation de Zoom indique que le logiciel de réunion de Zoom pour Windows, MacOS et Linux utilise par défaut le schéma standard TLS 1.2 pour le chiffrement du transport, bien qu'il semblerait que la plateforme n'utilise pas TLS.

Zoom admet que sa plateforme n'implémente pas actuellement le chiffrement de bout en bout

En réponse à cette confusion, dans un billet de blog a publié le premier avril dernier, Zoom apporte des explications sur son schéma de chiffrement. En gros, le billet de blog précise que Zoom n'implémente pas actuellement le chiffrement « de bout en bout », car pour la plupart des gens, le terme "chiffrement de bout en bout" décrit une situation dans laquelle tous les participants à la conférence (à l'exception de ceux qui se connectent via le réseau téléphonique public commuté) sont tenus d'utiliser le chiffrement de transport entre leurs appareils et les serveurs Zoom.

Pour les chercheurs, la définition de "chiffrement de bout en bout" de Zoom ne semble pas être une définition standard, même dans le domaine des solutions de vidéoconférence d'entreprise parce que Zoom n'implémente pas un véritable chiffrement de bout en bout, ils ont la capacité théorique de déchiffrer et de surveiller les appels Zoom. Néanmoins, Zoom mentionne qu'ils n'ont pas construit de mécanisme pour intercepter les réunions de leurs clients.

Zoom envoie certaines clés de chiffrement via des serveurs en Chine

Les clés AES-128, dont les chercheurs disent avoir vérifié qu'elles sont suffisantes pour déchiffrer les paquets Zoom interceptés dans le trafic Internet, semblent être générées par les serveurs Zoom et, dans certains cas, sont remises aux participants d'une réunion Zoom via des serveurs en Chine, même lorsque les participants des réunions sont en dehors de la Chine.

« Lors d'un test d'une réunion Zoom avec deux utilisateurs, l'un aux États-Unis et l'autre au Canada, nous avons constaté que la clé AES-128 pour le chiffrement et le déchiffrement de la conférence avait été envoyée à l'un des participants via TLS à partir d'un serveur Zoom apparemment situé à Pékin. Une analyse montre un total de cinq serveurs en Chine et 68 aux États-Unis qui exécutent apparemment le même logiciel de serveur Zoom. Nous pensons que les clés peuvent être distribuées via ces serveurs », selon les chercheurs.


Le logo de Zoom au-dessus du nom de l'une des entreprises de développement chinoises de Zoom, « Ruanshi Software Ltd.»

Cependant, le PDG de Zoom, Eric S Yuan, a déclaré que le routage des appels US via des serveurs chinois n'est pas la norme et ne s'est produit qu'en raison du trafic élevé. « Pendant les opérations normales, les clients Zoom tentent de se connecter à une série de centres de données principaux dans ou à proximité de la région d'un utilisateur, et si ces multiples tentatives de connexion échouent en raison d'une congestion du réseau ou d'autres problèmes, les clients atteindront deux centres de données secondaires à partir d'une liste de plusieurs centres de données secondaires comme pont de sauvegarde potentiel vers la plate-forme Zoom. Dans tous les cas, les clients Zoom reçoivent une liste de centres de données appropriés à leur région. Ce système est essentiel à la fiabilité des marques de Zoom, en particulier en cette période ».

Zoom, une société basée dans la Silicon Valley, semble détenir trois sociétés en Chine par le biais desquelles au moins 700 employés sont payés pour développer le logiciel Zoom. Ce serait apparemment un effort de Zoom pour éviter de payer des salaires aux Américains lors de la vente à des clients américains, augmentant ainsi leur marge bénéficiaire. Cependant, cela peut rendre Zoom sensible aux pressions des autorités chinoises.

Le procureur général de New York envoie une demande d'explication à Zoom

Lundi, le procureur général de New York, Letitia James, a envoyé une lettre à la société lui demandant de décrire les mesures qu'elle avait prises pour répondre aux problèmes de sécurité et s'adapter à l'augmentation du nombre d'utilisateurs. Dans la lettre, James a déclaré que Zoom avait été lent à traiter les failles de sécurité « qui pourraient permettre à des personnes malveillantes, entre autres, d'accéder subrepticement aux webcams ».

Un porte-parole de Zoom a déclaré qu'il prévoyait d'envoyer à James les informations demandées et de se conformer à la demande. « Zoom prend la confidentialité, la sécurité et la confiance de ses utilisateurs très au sérieux. Pendant la pandémie de Covid-19, nous travaillons sans relâche pour garantir que les hôpitaux, les universités, les écoles et les autres entreprises du monde entier puissent rester connectées et opérationnelles », a déclaré le porte-parole.

Sources : Zoom, Citizen Lab

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Un ancien hacker de la NSA découvre une faille dans Zoom permettant de prendre le contrôle des Mac, notamment la webcam, le micro et l'accès root, Elon Musk interdit à ses employés de l'utiliser

Facebook a développé une app mobile de reconnaissance faciale qui permettait d'identifier ses employés et leurs amis, en pointant le téléphone dans leur direction

Twitter permet maintenant d'utiliser l'authentification à deux facteurs sans numéro de téléphone, mais il faudra activer la confirmation via une application pour continuer à profiter de 2FA

Google va payer 1,5*million de dollars pour les exploits les plus critiques sur Android, dans le cadre de son programme Android Security Rewards

Facebook teste le mode concurrent, un ensemble de nouvelles fonctionnalités qui aident les apps React à rester réactives et à s'adapter de façon fluide aux capacités et au débit réseau de l'appareil
6  0 
Avatar de Bill Fassinou
Chroniqueur Actualités https://www.developpez.com
Le 18/06/2020 à 9:11
Zoom prévoit d'offrir à tous ses utilisateurs gratuits et payants E2EE, un chiffrement de bout en bout pour les appels vidéo,
une version d'essai commence en juillet

Zoom prévoit d'offrir à tous ses utilisateurs gratuit et payant un chiffrement de bout en bout pour les appels vidéo. Le projet de conception d'E2EE, le chiffrement de bout en bout de Zoom en question, a été publié le 22 mai dernier. Zoom annonce avoir collaboré avec des organisations des libertés civiles, des groupes de défense de la sécurité des enfants, des experts en chiffrement, des représentants du gouvernement et ses propres utilisateurs pour mettre en oeuvre E2EE.

Zoom annonce que la version bêta de la fonctionnalité E2EE commence en juillet 2020. Tous les utilisateurs de Zoom continueront d'utiliser le cryptage de transport AES 256 GCM comme cryptage par défaut, E2EE sera une fonctionnalité facultative car elle limite certaines fonctionnalités de réunion, telles que la possibilité d'inclure des lignes téléphoniques PSTN traditionnelles ou des systèmes de salle de conférence matérielle SIP / H.323. Les administrateurs de compte peuvent activer et désactiver E2EE au niveau du compte et du groupe.

La société, dont l'activité a explosé avec les mesures de distanciation contre le covid-19, forçant davantage de personnes à travailler à domicile, s'est transformée en un lieu de rencontre vidéo mondial à partir d'un outil de téléconférence orienté entreprise. Cependant, elle a également été critiquée pour des problèmes de confidentialité et de sécurité, et a fait l'objet de critiques pour avoir omis de divulguer que son service n'était pas entièrement crypté de bout en bout.

En effet, début avril, des chercheurs ont donné des détails sur deux bogues de sécurité découverts dans l'application Zoom. Le client Windows de Zoom perdait ses informations d'identification réseau, car l'application rendait les chemins d'accès aux fichiers UNC cliquables dans les fenêtres de discussion de groupe. Un rapport de The Intercept a également critiqué les pratiques de confidentialité de l’application de vidéoconférence pour avoir prétendument trompé les utilisateurs sur le chiffrement de bout en bout de la plateforme. Mais Zoom avait fini par admettre que l'E2EE n'était pas encore possible pour les réunions vidéo de Zoom et utilise plutôt le chiffrement TLS (Transport Layer Security).


Après une série de défaillances de sécurité, certaines institutions ont interdit l'utilisation de Zoom, la société basée en Californie a embauché en avril l'ancien directeur de la sécurité de Facebook Inc Alex Stamos et a déployé des mises à niveau majeures. Alex Stamos, ex-chef de la sécurité chez Facebook, avait publié plusieurs tweets, demandant notamment à Zoom d’être plus transparent et de lancer un plan de sécurité qui va durer 30 jours. Il a ensuite été contacté par Eric Yuan, le fondateur de Zoom, pour devenir consultant externe. « Je suis heureux de vous dire que je vais aider Zoom à mettre en place son programme de sécurité », a alors annoncé Stamos.

Hier, dans un billet de blog, le PDG de Zoom, Eric S. Yuan,a annoncé que Zoom a publié E2EE sur GitHub. « Nous sommes également heureux de partager que nous avons identifié une voie à suivre qui équilibre le droit légitime de tous les utilisateurs à la confidentialité et à la sécurité des utilisateurs sur notre plateforme. Cela nous permettra d'offrir E2EE en tant que fonctionnalité complémentaire avancée pour tous nos utilisateurs du monde entier - gratuits et payants - tout en conservant la capacité de prévenir et de combattre les abus sur notre plateforme », a-t-il ajouté.

Pour rendre cela possible, les utilisateurs Free / Basic cherchant à accéder à E2EE participeront à un processus unique qui invitera l'utilisateur à fournir des informations supplémentaires, telles que la vérification d'un numéro de téléphone via un message texte.

Source : Zoom

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Eric Yuan, le PDG et fondateur de Zoom, a gagné près de 4 milliards de dollars en l'espace de trois mois suite à l'explosion de l'utilisation de sa plateforme en pleine pandémie de coronavirus

Zoom divulguerait les adresses mail et photos des utilisateurs et permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus

Certaines clés de chiffrement de Zoom sont transmises aux participants d'une réunion via des serveurs en Chine selon les chercheurs, Zoom l'admet et s'explique

Zoom met à jour son logiciel pour améliorer la protection par mots de passe des vidéoconférences et pour sécuriser les enregistrements sur le cloud
6  0 
Avatar de Olivier Famien
Chroniqueur Actualités https://www.developpez.com
Le 03/04/2020 à 2:15
Le responsable technique de VMRay dévoile comment l'application Zoom s'installe sur votre macOS sans que vous ayez cliqué sur le bouton « ;installer »,
une pratique louche utilisée par de véritables malwares, selon le responsable

Depuis que le monde est passé en mode confinement, les individus, les entreprises et même les établissements éducatifs se sont massivement tournés vers les applications de travail à distance pour continuer leurs activités. Parmi ces applications, Zoom est le service de vidéoconférence qui fait le plus parler de lui depuis que les hommes et les femmes sont contraints de rester à domicile en attendant la fin de la crise sanitaire.

VMRay, une entreprise de sécurité informatique, n’a pas fait exception à la règle et a également demandé à son équipe d’installer Zoom afin de continuer ses activités professionnelles. Felix Seele, responsable technique chez VMRay, a donc installé Zoom sur son ordinateur Mac. Comme pour toutes les installations d’un programme sur macOS, lorsque vous cliquez sur le paquet pkg, le système avertit l’utilisateur qu’il effectuera des vérifications pour déterminer si le logiciel peut être installé, comme l’image ci-dessous le montre.


En cliquant sur le bouton « ;Continuer ;», vous serez dirigé sur une autre fenêtre pour valider l’emplacement de l’installation. Après cette étape, vous serez dirigé vers la fenêtre d’installation et lorsque vous cliquerez sur le bouton de validation, l’installation à proprement parler débutera. En principe si vous avez suivi correctement toutes les étapes jusqu’à la fin, Zoom devrait s’installer sur votre système sans problème.

Toutefois, Seele souligne que si vous avez cliqué sur le bouton « ;Continuer ;» qui apparaît sur la fenêtre qui annonce que macOS vérifiera si le logiciel peut être installé, et que vous abandonnez l’installation, le programme s’installe quand même. Seele explique que ce que vous devez savoir, c’est que dès que vous cliquez sur le bouton apparaissant sur l’image ci-dessus, au lieu de ne faire que des vérifications de préinstallation, le programme d’installation de Zoom effectue toute l’installation du programme.

Pour mieux comprendre ce qui se passe sous le capot, Seele qui s’est penché sur cette anomalie, rapporte qu’en fait l’entreprise Zoom abuse des scripts de préinstallation pour installer l’application avant même qu’il ait été demandé à l’utilisateur d’installer le programme. Pour ce faire, le programme utilise 7zip qui est intégré au paquet du programme pour décompresser manuellement l’application une fois que l’utilisateur clique sur le bouton pour confirmer la vérification d’avant installation. Ensuite, l’application décompressée est installée à l’aide d’un script dans le répertoire /Applications.


Si l’utilisateur est dans le groupe Admin, ce qui est vrai dans la plupart des cas, et si l’utilisateur n’est pas limité par le service informatique de l’entreprise, des privilèges élevés (« ;root ;») ne sont pas requis pour installer l’application dans le répertoire par défaut / Applications. Si par contre l’utilisateur n’a pas les droits appropriés pour écrire dans le répertoire par défaut /Applications et que le client Zoom n’est pas déjà installé, l’application sera copiée dans le répertoire d’application local à l’emplacement suivant : /Users /<username>/Applications.


Enfin, si le client Zoom est déjà installé dans / Applications, mais que l’utilisateur en cours n’a pas le droit de le mettre à jour, le script lancera un outil d’aide appelé « ;zoomAutenticationTool ;» (sic) qui fait également partie du fichier pkg. Cet outil utilise la fameuse et obsolète API système AuthorizationExecuteWithPrivileges() pour afficher une invite de mot de passe afin d’exécuter le script « ;runwithroot ;» également fourni avec les privilèges root.


Il n’est pas rare que les applications macOS demandent temporairement des privilèges root, par exemple, pour installer un service persistant ou démarrer un outil d’assistance privilégié. Cependant, Seele souligne que dans ce cas, le programme d’installation de Zoom remplace le message affiché dans l’invite de mot de passe. Au lieu d’afficher un message de type « ;Zoom a besoin de votre mot de passe pour mettre à jour l’application existante ;», il utilise le message : « ;Le système a besoin de vos privilèges pour changer ;» (sic). Cela donne l’impression que le système d’exploitation demande le mot de passe de l’utilisateur alors qu’il s’agit en fait du programme d’installation de Zoom. Cette attitude est trompeuse dans tous les cas de figure mentionnés. Pour Seele, c’est un cas clair de « ;bonnes applications qui se comportent mal ;».

En principe, lorsqu’un utilisateur ouvre le fichier pkg, il s’attend à donner son consentement avant l’installation. Au lieu de cela, Zoom effectue cette opération instantanément sans autre confirmation. Pour Seele, l’on peut comparer cette situation à un conducteur qui met la clé de la voiture dans le contact, mais au lieu que la radio s’allume et que le moteur démarre, la voiture commence à rouler toute seule. Selon le responsable technique, le second problème, plus grave, est l’invite de mot de passe. Pour Seele, Zoom usurpe l’identité du système pour tromper l’utilisateur avec la technique du « ;social-engineering ;» afin qu’il entre son mot de passe dans le champ affiché. Même si Zoom ne capture pas le mot de passe en texte brut, mais demande juste « ;l’autorisation ;» du système d’exploitation pour exécuter quelque chose en tant que root, c’est une pratique louche utilisée par de véritables logiciels malveillants macOS (comme Coldroot et Proton) qui prétendent souvent être un processus Apple.

Après avoir découvert ces incohérences, Seele a averti les utilisateurs de Zoom sur Twitter. Cela a fait réagir Eric S. Yuan, le fondateur et CEO de Zoom, qui déclara ceci : « ;Merci pour votre avis ;! Nous avons mis cela en œuvre pour équilibrer le nombre de clics compte tenu des limites de la technologie standard. Rejoindre une réunion à partir d’un Mac n’est pas facile, c’est pourquoi cette méthode est utilisée par Zoom et d’autres. Votre point est bien compris et nous continuerons de nous améliorer ;».


Source : Twitter, VMRay

Et vous ?

Utilisez-vous Zoom ;? Avez-vous déjà été confronté à des pratiques dans l’application qui vous ont dérangés du point de vue de la sécurité ;?

Que pensez-vous de cette découverte ;? De quoi remettre en cause l’utilisation de Zoom ;?

Que pensez-vous des arguments du CEO de Zoom pour justifier la mauvaise implémentation du processus d’installation de Zoom ? Sont-ils recevables ?

Voir aussi

L’éditeur de l’application de vidéoconférence Zoom poursuivi en justice pour avoir transmis les données des utilisateurs à Facebook via son SDK « ;Facebook Login ;»
L’éditeur de l’application de vidéoconférence Zoom retire le code du SDK Facebook de la version iOS, car celui-ci transférait les données des utilisateurs vers le réseau social
Les applications de téléconférence et les nouvelles technologies font l’objet d’une forte demande, dans le contexte de l’épidémie de coronavirus
La préversion publique du client lourd de Microsoft Teams pour Linux est d’ores et déjà disponible, pour les distributions basées sur Debian et Red Hat
5  0 
Avatar de Bill Fassinou
Chroniqueur Actualités https://www.developpez.com
Le 07/04/2020 à 21:37
Le Zoombombing, le fait de s'introduire dans les réunions publiques de Zoom sans y être invité, est un crime, pas une farce,
avertissent les autorités US

Zoom a très vite atteint la barre des 200 millions d’utilisateurs par jour pendant les trois derniers mois où la pandémie du Covid-19 force une bonne partie des travailleurs à exercer en télétravail. Toutefois, ce boom a aussi contribué à exposer au grand jour un nombre considérable de failles de sécurité dont souffre Zoom. L’une d’entre elles, connue sous le nom de Zoombombing, permet aux attaquants de s’introduire dans les appels vidéo d’autres utilisateurs sans y être invités. Pour lutter contre cela, l’État du Michigan a annoncé qu’il considère désormais cela comme un crime.

Le Zoombombing, qu'est-ce que c'est ?

Selon certains analystes, Zoom est actuellement l'application Apple et Android la plus populaire au monde, et son cours a plus que doublé depuis fin janvier, une hausse particulièrement impressionnante si l'on tient compte du krach boursier qui s'est également produit pendant cette période. Mais l’une des menaces qui pourraient le faire totalement plonger est le “Zoombombing”. D’où vient cette faille et comment les pirates l’exploitent-ils ? Cette faille aurait été découverte au même moment que celle qui avait frappé le client Mac de l’application en janvier dernier.

Cette vulnérabilité pouvait pousser les utilisateurs de Mac qui ont (ou ont déjà eu) Zoom installé sur leur appareil à se joindre à des réunions Zoom avec leurs caméras automatiquement activées. Au cours du mois de janvier, la société de cybersécurité Check Point a montré qu’un pirate peut générer facilement des numéros d'identification de réunion actifs, qu'il peut ensuite utiliser pour se joindre aux réunions si celles-ci n'étaient pas protégées par un mot de passe. Zoom a apporté un certain nombre de modifications pour résoudre le problème avec les Mac.


Cependant, la recommandation de Check Point qui demande que les réunions soient protégées par un mot de passe n’a pas été prise en compte par Zoom. Résultat, le Zoombombing a vu le jour et les appels vidéos peuvent rapidement être transformés en séance de visionnage de vidéos peu recommandables. Selon les informations sur le Zoombombing, les réunions publiques de Zoom sont rejointes par un troll qui diffuse des choses comme du porno et des images nazies au reste des participants. La seule façon d’arrêter la diffusion est de couper l’appel.

Il existe des moyens d'atténuer ce problème, comme la protection des réunions par un mot de passe ou la limitation du partage d'écran à l'hôte de la réunion. Mais le fait qu'il soit si facile pour quiconque de se joindre à une réunion publique de Zoom et de la perturber ensuite indique que les développeurs de l’application n'avaient pas prévu que les réunions pouvaient être perturbées à ce point. C’est une chose que toute personne ayant déjà utilisé Internet aurait dû prévoir. Plusieurs procureurs ont saisi Zoom pour savoir comment la société compte arranger la situation.

Le Zoombombing désormais considéré comme un crime dans certains États aux USA

Dans l’heure, d’autres États ont commencé par prendre des mesures pour lutter contre le Zoombombing en attendant que Zoom fasse un effort pour sécuriser au mieux son application. Le Zoombombing est désormais considéré comme un crime dans ces États. Vendredi passé, les procureurs fédéraux du Michigan ont averti le public à travers une déclaration que le Zoombombing n'est pas une plaisanterie bénigne, mais bien évidemment un crime. Les autorités étatiques ont mentionné que la décision découle d’une investigation menée par le FBI pendant la semaine écoulé.

« Les pirates informatiques perturbent les conférences et les salles de classe en ligne avec des images pornographiques et/ou haineuses et un langage menaçant », a déclaré le bureau du procureur américain pour le district Est du Michigan. « Toute personne qui pirate une téléconférence peut être accusée de délits d'État ou fédéraux », a ajouté le bureau. À en croire la note des procureurs, la sanction qui frappera un attaquant qui utilise le Zoombombing sera proportionnelle à la façon dont il s’est introduit dans la réunion et ce qu’il a fait pour la perturber.

Il faut savoir qu’il y a des réunions Zoom dites publiques, ce qui peut rendre difficile l'inculpation d'intrusion informatique. Mais, une personne pourrait quand même être poursuivie pour des choses qu'elle a dites ou faites pour perturber la réunion après l'avoir rejointe. Par ailleurs, il est possible de protéger les réunions grâce à un mot de passe. Cependant, il est totalement déconseillé d'annoncer les informations de connexion sur les médias sociaux ou d'autres canaux publics. La sanction d’une intrusion dans une vidéoconférence privée peut être très sévère.

« Vous trouvez que le Zoombombing est drôle ? Voyons à quel point c'est drôle après votre arrestation », a déclaré Matthew Schneider, avocat américain du Michigan, dans la note du vendredi. « Si vous interférez avec une téléconférence ou une réunion publique dans le Michigan, les forces de l'ordre fédérales, étatiques ou locales pourraient frapper à votre porte », a-t-il ajouté. Les autorités fédérales ont partagé dans la note quelques mesures pouvant être prises pour atténuer les impacts des menaces liées aux téléconférences :

  • ne pas rendre les réunions ou les cours publics. Dans Zoom, il existe deux options pour rendre une réunion privée. Exiger un mot de passe pour la réunion ou utiliser la fonction de salle d'attente et contrôler l'admission des invités ;
  • ne pas partager un lien menant vers une téléconférence ou une salle de classe dans un poste de média social accessible au public sans restriction. Fournissez directement le lien aux personnes qui sont concernées par la réunion ou par la classe ;
  • ne pas gérer les options de partage d'écran dans Zoom, changez le partage d'écran en “Hôte seulement” ;
  • s'assurer que les utilisateurs utilisent la version mise à jour des applications d'accès/réunion à distance. En janvier 2020, Zoom a mis à jour son logiciel. Dans cette mise à jour de sécurité, Zoom a ajouté des mots de passe par défaut pour les réunions et a désactivé la possibilité de rechercher aléatoirement les réunions auxquelles on souhaite participer ;
  • enfin, assurez-vous que la politique ou le guide de votre organisation en matière de télétravail répond aux exigences de sécurité physique et de sécurité de l'information.

Source : La note des procureurs

Et vous ?

Quel est votre avis sur le sujet ?
Partagez-vous le même point de vue que les procureurs ou pas ? Pourquoi ?

Voir aussi

Zoom annonce un gel des fonctionnalités pendant 90 jours pour résoudre les problèmes de confidentialité et de sécurité, alors que l'application a atteint 200 millions d'utilisateurs quotidiens

Les réunions sur Zoom ne supportent pas le chiffrement de bout en bout. Zoom a donc la capacité technique d'espionner les réunions vidéo privées

Un ancien hacker de la NSA découvre une faille dans Zoom permettant de prendre le contrôle des Mac, notamment la webcam, le micro et l'accès root. Elon Musk interdit à ses employés de l'utiliser

Zoom divulguerait les adresses mail et photos des utilisateurs et permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus
5  0 
Avatar de Bill Fassinou
Chroniqueur Actualités https://www.developpez.com
Le 01/04/2020 à 14:25
Zoom divulguerait les adresses mail et photos des utilisateurs
et permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus

À l’heure où l’épidémie du Covid-19 force la plus grande expérience de télétravail au monde, certaines applications devant permettre ce mode de travail ne semblent pas totalement préparées à un changement aussi radical dans la société. Zoom, l’une des applications de visioconférence qui ont vu leur popularité explosée depuis le début de la crise, affiche à présent des failles de sécurités graves. Selon le rapport du média américain, Zoom divulguerait les informations personnelles des utilisateurs, notamment leurs adresses mails, leurs photos, etc.

Zoom est un outil de visioconférence développée par l’entreprise américaine Zoom Video Communication. Selon un récent rapport, Zoom divulguerait apparemment les adresses mail et photos des utilisateurs. Il permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus à cause de la façon dont l’entreprise gère les contacts. Cela fait en sorte que l'application perçoit certains utilisateurs comme étant des travailleurs de la même organisation. La faille de sécurité réside au niveau du paramètre “Annuaire d’entreprise” de Zoom.

Il ajoute automatiquement d'autres personnes aux listes de contacts d'un utilisateur si elles se sont inscrites avec une adresse électronique qui partage le même domaine. L'idée est de faciliter la recherche d'un collègue spécifique à joindre si le domaine appartient à une entreprise individuelle. Mais plusieurs utilisateurs de Zoom disent s'être inscrits avec des adresses électroniques personnelles, et Zoom les a regroupées avec des milliers d'autres personnes comme s'ils travaillaient tous pour la même entreprise, exposant leurs informations personnelles les uns aux autres.


Cela signifie qu'un utilisateur concerné peut voir les adresses e-mail personnelles et les photos des personnes ayant le même domaine dans son annuaire d'entreprise, même si aucune de ces personnes n'est en fait un collègue. Actuellement, les analystes ne savent pas dans quelle mesure ce problème est répandu ni combien de domaines peuvent être concernés. Toutefois, le rapport contient comme illustration une capture d’écran d’un compte utilisateur avec 995 comptes dans son annuaire d'entreprise. Le concerné a indiqué certains domaines avec lesquels il a eu le problème.

Il a déclaré avoir rencontré le problème avec les domaines xs4all.nl, dds.nl et quicknet.nl. Il s’agit de domaines de messageries électroniques qui appartiennent tous à des fournisseurs d’accès néerlandais. « J'ai été choqué par cela ! Je me suis abonné (avec un pseudonyme, heureusement) et j'ai vu 995 personnes qui me sont totalement inconnues avec leurs noms, images et adresses mail », a déclaré Barend Gehrels, l’utilisateur de Zoom qui a été touché par le problème et qui l'a signalé dans un mail envoyé à Vice. Zoom aurait déjà résolu le problème.

Il a ajouté que sa partenaire avait le même problème avec un autre fournisseur de messagerie et qu'elle avait plus de 300 personnes listées dans ses propres contacts. « Si vous vous abonnez à Zoom auprès d'un fournisseur non standard (je veux dire, pas Gmail ou Hotmail ou Yahoo, etc.), alors vous obtenez un aperçu de tous les utilisateurs abonnés de ce fournisseur : leurs noms complets, leurs adresses e-mail, leur photo de profil (s'ils en ont) et leur statut. Et vous pouvez les appeler par vidéo », a déclaré Gehrels dans son courrier électronique.

D’après le rapport, d’autres utilisateurs ont déclaré sur Twitter avoir rencontré le même problème avec d’autres fournisseurs d’accès Internet néerlandais (FAI). Le FAI néerlandais XS4ALL a tweeté en réponse à une plainte déposée dimanche : « C'est quelque chose que nous ne pouvons pas désactiver. Vous pourriez voir si Zoom peut vous aider à ce sujet ». De son côté, Zoom a déclaré avoir mis ces domaines sur une liste noire après avoir été averti du problème. « Zoom maintient une liste noire de domaines et identifie régulièrement de manière proactive les domaines à ajouter », a déclaré un porte-parole de Zoom.

Il possède également une page où les utilisateurs peuvent demander qu’un domaine soit mis sur liste noire. Zoom a un bilan mitigé en matière de sécurité. En juillet dernier, un chercheur en sécurité a découvert qu'un site Web malveillant pouvait ouvrir un appel vidéo de Zoom sur des Macs sans l'autorisation d'un utilisateur. La société a rapidement mis à jour son logiciel et a désinstallé un serveur Web local qui a créé la vulnérabilité. Check Point Research a publié en janvier un rapport sur une faille qui aurait permis aux pirates d'écouter les appels.

Par ailleurs, Zoom a récemment confirmé que ses appels vidéo ne sont pas réellement cryptés de bout en bout, malgré ce que son site Web prétend. La semaine dernière, Zoom a mis à jour la version iOS de son application lorsqu’il a été signalé qu'elle envoyait des données analytiques à Facebook. Lundi, un utilisateur a intenté une action collective contre Zoom pour le transfert de données. Le même jour, le procureur général de New York a envoyé une lettre à Zoom pour lui demander quelles mesures de sécurité la société avait mises en place, l'application ayant connu une montée en flèche de sa popularité.

Source : Fonctionnalité "Annuaire d'entreprise"

Et vous ?

Qu'en pensez-vous ?

Voir aussi

En Chine, le coronavirus force la plus grande expérience de travail à domicile au monde, le télétravail semble être la seule solution dont disposent les entreprises

Les réunions sur Zoom ne supportent pas le chiffrement de bout en bout. Zoom a donc la capacité technique d'espionner les réunions vidéo privées

Ordinateurs Mac : une faille de sécurité zero-day a été détectée sur le logiciel zoom et pourrait permettre aux sites Web de détourner la caméra
4  0 
Avatar de Bill Fassinou
Chroniqueur Actualités https://www.developpez.com
Le 02/04/2020 à 12:44
Un ancien hacker de la NSA découvre une faille dans Zoom permettant de prendre le contrôle des Mac, notamment la webcam, le micro et l'accès root,
Elon Musk interdit à ses employés de l’utiliser

La popularité de Zoom est montée en flèche depuis le début de la pandémie du Covid-19, mais beaucoup de choses semblent le rattraper à présent. Les découvertes de failles de sécurité graves se multiplient et Zoom commence par être déprécié par certains patrons de la Tech et d’autres interdisent déjà son utilisation au sein de leurs organisations. Elon Musk vient de le faire. Pendant ce temps, un ex-hacker de la NSA découvre une nouvelle faille de sécurité dans Zoom servant à prendre le contrôle des Mac, en particulier la webcam, le micro et l'accès "root".

Depuis le début de l’année, Zoom a gagné une importante part de marché dans la nouvelle expérience de télétravail forcée par la propagation du Covid-19. Cela a fait en sorte que les chercheurs en sécurité se sont intéressés de plus près aux pratiques de Zoom en matière de sécurité et de confidentialité. Mais, le résultat de cette attention va de plus en plus en défaveur de Zoom qui voit sa cote de popularité chuter à nouveau. Un ex-hacker de la NSA, Patrick Wardle, a montré qu’il est toujours possible d’attaquer un Mac à distance et de le contrôler totalement.

Plus précisément, ce dernier a découvert deux nouveaux bogues qui permettent aux pirates de prendre le contrôle de votre Mac, notamment la webcam, le microphone, et même l'accès root complet. Ce type de problème a déjà été observé au sein de Zoom l’été dernier, mais Zoom a annoncé avoir déployé un correctif pour résoudre le problème. Wardle a découvert qu'un attaquant local avec des privilèges d'utilisateur de bas niveau peut injecter du code malveillant dans l'installateur de Zoom pour obtenir le plus haut niveau de privilèges d'utilisateur, l'accès root.


Une fois cette faille exploitée, l'attaquant peut obtenir et maintenir un accès persistant aux entrailles de l'ordinateur de la victime. Cette action lui permet d'installer des logiciels malveillants ou des logiciels espions. Tout ceci se passe sans que la victime s'en aperçoive. Le second bogue découvert par Wardle exploite une faille dans la manière dont Zoom gère la webcam et le microphone sur les Mac. Zoom, comme toute application nécessitant une webcam et un microphone nécessite en premier lieu le consentement de l'utilisateur.

Mais, selon Wardle, un attaquant peut injecter un code malveillant dans Zoom pour le piéger et lui donner le même accès à la webcam et au microphone que celui dont dispose déjà Zoom. Il a réussi à faire charger son code malveillant par Zoom. « Le code hérite automatiquement d'une partie ou de la totalité des droits d'accès de Zoom », a-t-il déclaré. Selon lui, cela inclut l'accès de Zoom à la webcam et au microphone. « Aucune invite supplémentaire ne sera affichée, et le code injecté a pu enregistrer arbitrairement des données audio et vidéo », a-t-il ajouté.

Cela nous amène à la situation actuelle. Les nouvelles découvertes de Wardle en matière de bogues signifient que les Mac sont à nouveau vulnérables à la prise de contrôle des webcams et des micros, en plus de l’accès root d'un Mac. Zoom devra vite réagir pour corriger ces problèmes alors que son logiciel commence à être déprécié. « Si vous vous souciez de votre sécurité et de votre vie privée, vous devriez peut-être arrêter d'utiliser Zoom », a-t-il écrit dans un article de blogue détaillant ce qu’il a trouvé. Elon Musk et la NASA n’ont pas hésité à interdire Zoom.

Selon Reuters, Musk a adressé une note de service aux employés de SpaceX, sa société de fusée, leur demandant d’arrêter d’utiliser Zoom en raison des soucis liés à sa sécurité. L’entreprise a indiqué à ses employés le 28 mars que tous les accès à Zoom concernant la société avaient été désactivés avec effet immédiat. « Nous comprenons que beaucoup d'entre nous utilisaient cet outil pour des conférences et des réunions », a déclaré SpaceX dans sa note. « Veuillez utiliser le courrier électronique, le texte ou le téléphone comme autres moyens de communication ».

La NASA, l'un des plus gros clients de SpaceX, interdit également à ses employés d'utiliser Zoom, a déclaré Stephanie Schierholz, porte-parole de l'agence spatiale américaine. Selon Reuters, lundi dernier, le bureau de Boston du FBI a émis un avertissement à propos de Zoom, disant aux utilisateurs de ne pas rendre publiques les réunions sur le site ou de partager largement les liens après avoir reçu deux rapports d'individus non identifiés envahissant les sessions scolaires, un phénomène connu sous le nom de “zoombombing”.

Il s’est également avéré la semaine dernière que Zoom ne supporte pas le chiffrement de bout en bout pour ses appels, alors que le site de la société disait le contraire. Zoom s’est ensuite excusé pour cela. « Nous voulons commencer par nous excuser pour la confusion que nous avons causée en suggérant à tort que les réunions de Zoom étaient capables d'utiliser un chiffrement de bout en bout », a déclaré Zoom dans un article de blog. « Zoom s'est toujours efforcé de chiffrer le contenu pour le protéger dans le plus grand nombre de scénarios possible, et dans cet esprit, nous avons utilisé le terme de chiffrement de bout en bout ».

Enfin, la société a également déclaré qu'elle chiffre tout le contenu des réunions Zoom où tout le monde utilise l'application Zoom et où les sessions ne sont pas enregistrées. Elle a déclaré qu'elle était actuellement incapable de chiffrer le contenu lorsque les utilisateurs se connectent en utilisant d'autres appareils. Toutefois, en attendant que Zoom corrige ces problèmes, la société risque de perdre énormément d’utilisateurs au profit des solutions concurrentes.

Sources : Patrick Wardle, Reuters

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Les réunions sur Zoom ne supportent pas le chiffrement de bout en bout. Zoom a donc la capacité technique d'espionner les réunions vidéo privées

Zoom divulguerait les adresses mail et photos des utilisateurs et permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus

Ordinateurs Mac : une faille de sécurité zero-day a été détectée sur le logiciel zoom et pourrait permettre aux sites Web de détourner la caméra

En Chine, le coronavirus force la plus grande expérience de travail à domicile au monde, le télétravail semble être la seule solution dont disposent les entreprises
4  0 
Avatar de Stan Adkens
Chroniqueur Actualités https://www.developpez.com
Le 02/04/2020 à 18:45
Zoom annonce un gel des fonctionnalités pendant 90 jours pour résoudre les problèmes de confidentialité et de sécurité,
Alors que l’application a atteint 200 millions d’utilisateurs quotidiens

L'application de vidéoconférence Zoom est devenue un moyen très populaire de rester en contact pour un monde de plus en plus isolé pendant la pandémie de coronavirus, tant pour des réunions personnelles que professionnelles. En même temps Zoom a été confronté à de nombreux problèmes de sécurité et de confidentialité ces dernières semaines, en raison de l'augmentation massive et imprévue de son utilisation, alors que le nombre de réunions en ligne augmente. Pour redonner confiance à ses utilisateurs, l’entreprise a publié un article de blog dans lequel elle s'est excusée pour les « problèmes imprévus » et a promis d'améliorer la situation.

L’application Zoom, destinée aux professionnels, comptait en décembre 2019 une dizaine de millions d'utilisateurs quotidiens. Mais en faveur de la pandémie du coronavirus, le service auparavant méconnu du grand public a connu une croissance fulgurante de ses utilisateurs multipliant par 20 le nombre pour atteindre 200 millions de personnes utilisant Zoom quotidiennement, d’après le PDG de Zoom, Eric S. Yuan. « En mars de cette année, nous avons atteint plus de 200 millions de participants aux réunions quotidiennes, qu'elles soient gratuites ou payantes », déclare Yuan.


« Notre plateforme a été conçue principalement pour les entreprises », explique Yuan. « Nous n'avons pas conçu le produit en pensant que, dans quelques semaines, chaque personne dans le monde travaillerait, étudierait et socialiserait soudainement à partir de chez elle. Nous avons maintenant un ensemble beaucoup plus large d'utilisateurs qui utilisent notre produit d'une myriade de façons inattendues, nous présentant des défis que nous n'avions pas prévus lors de la conception de la plateforme », lit-on dans l’article.

Ce faisant, l’entreprise fait désormais face à deux défis : le défi que représente la prise en charge de 200 millions d'utilisateurs journaliers, contre seulement 10 millions il y a quelques mois, mais aussi les problèmes de confidentialité et de sécurité qui ont été découverts récemment. Pour face à ces défis, Zoom gèle désormais ses mises à jour de fonctionnalités et se concentre plutôt sur ces problèmes.

« Au cours des 90 prochains jours, nous nous engageons à consacrer les ressources nécessaires pour mieux identifier, traiter et résoudre les problèmes de manière proactive », explique Yuan. « Nous nous sommes également engagés à faire preuve de transparence tout au long de ce processus ». Le PDG et fondateur de Zoom explique également comment l'entreprise a réagi à une augmentation massive du nombre d'utilisateurs et a promis de les résoudre.

Des problèmes révélés dans Zoom ces dernières semaines

Cette semaine, Patrick Wardle, un ex-hacker de la NSA, a découvert une nouvelle vulnérabilité qui permet aux pirates de prendre le contrôle de votre Mac, notamment la webcam, le microphone, et même l'accès root complet. Ce type de problème avait déjà été observé au sein de Zoom l’été dernier, mais Zoom avait annoncé avoir déployé un correctif pour résoudre le problème. Wardle a découvert qu'un attaquant local avec des privilèges d'utilisateur de bas niveau peut injecter du code malveillant dans l'installateur de Zoom pour obtenir le plus haut niveau de privilèges d'utilisateur, l'accès root.

Pas plus tard qu’hier, les chercheurs ont détaillé deux nouveaux bogues de sécurité découverts dans l'application Zoom. Le client Windows de Zoom perdait ses informations d'identification réseau, car l'application rendait les chemins d'accès aux fichiers UNC cliquables dans les fenêtres de discussion de groupe. Un rapport de The Intercept a également critiqué les pratiques de confidentialité de l’application de vidéoconférence pour avoir prétendument trompé les utilisateurs sur le chiffrement de bout en bout de la plateforme. Mais Zoom a fini par admettre que l'E2E n'est actuellement pas possible pour les réunions vidéo de Zoom et utilise plutôt le chiffrement TLS (Transport Layer Security).


Un autre problème auquel Zoom est confronté est la façon dont les nouveaux utilisateurs partagent les liens de réunions et de classes en ligne. Cette semaine, la division du FBI à Boston a mis en garde les écoles contre deux cas de "zoom-bombes" par des inconnus dans des salles de classe en ligne de deux lycées différents du Massachusetts. Selon le rapport du FBI Boston, dans un premier cas, un inconnu a crié des injures et a cité l'adresse du domicile de l'enseignant. Dans l'autre, le pirate informatique était visible par les élèves.

Le FBI a mis en garde les écoles contre le fait de rendre publiques des réunions ou des salles de classe et les a incitées à exiger un mot de passe pour les réunions. De plus, il leur a déconseillé de partager des liens vers des salles de classe sur des sites de médias sociaux accessibles au public.

Ces problèmes ont poussé certaines organisations à ne plus utiliser Zoom. SpaceX, qui a reconnu qu'un grand nombre de ses 6 000 employés avaient utilisé Zoom pour des réunions, a maintenant demandé à tous ses employés d'utiliser plutôt le courrier électronique, les SMS ou le téléphone en raison de « graves problèmes de confidentialité et de sécurité », selon un mémo vu par Reuters. L'agence spatiale américaine NASA a également interdit à ses employés d'utiliser Zoom.

Zoom a publié des correctifs de certains problèmes de sécurité signalés

Zoom a déjà pris des mesures pour répondre aux critiques qui lui ont été adressées. Eric Yuan, a souligné dans son article que l'entreprise avait publié une correction du problème des liens UNC dans le client Windows. Yuan dit également avoir publié des correctifs pour les problèmes MacOS signalés par Wardle. En outre, la société a supprimé la fonction de suivi de l'attention des participants et a supprimé le navigateur de vente de LinkedIn dans Zoom, qui, selon elle, divulguait inutilement des données.

L'entreprise a aussi mis à jour sa politique de confidentialité, retiré le SDK Facebook de son application iOS et tenté de résoudre le problème du "zoombombing". Yuan s'est excusé pour la confusion autour de son E2E, et nié avoir construit un mécanisme pour déchiffrer les réunions en direct à des fins d'interception légale.

Gel immédiat des mises à jour fonctionnalité et concentration sur les questions de sécurité et de confidentialité de Zoom

Selon le PDG de Zoom, toutes les ressources d'ingénierie de l’entreprise seront désormais consacrées aux questions de sécurité et de confidentialité, et la société prévoit un « examen complet » avec des tiers pour s'assurer qu'elle traite correctement la sécurité de ces nouveaux cas de consommateurs. Zoom s'engage également à publier un rapport de transparence afin de faire connaître le nombre de demandes de données d'utilisateurs émanant des forces de l'ordre et des gouvernements.

L’entreprise va « améliorer » également son programme de prime aux bogues, en consultant d'autres responsables de la sécurité de l'information dans l'industrie et en utilisant des tests d’intrusion pour identifier d'autres bogues de sécurité. À partir de la semaine prochaine, Yuan organisera un webinaire hebdomadaire, le mercredi, pour fournir des mises à jour sur la sécurité et la protection de la vie privée à la communauté Zoom.

Un chercheur en sécurité a apprécié la réponse de Zoom aux préoccupations de sécurité et confidentialité soulevées par les chercheurs et les utilisateurs :


D'autres meilleures alternatives à Zoom pour la vidéoconférence

Si des nouvelles récentes vous ont rendu hésitant à utiliser Zoom, ou si vous êtes dans l’attente que Zoom apporte des correctifs de sécurité et de confidentialité avant de l’utiliser à nouveau pour vos réunions ou vos classes en ligne, d'autres applications de vidéoconférence sont disponibles. Ces applications, ci-dessous, ont des versions gratuites et certaines offrent un accès temporaire à des fonctionnalités supplémentaires pour ceux qui travaillent actuellement à domicile ou qui souhaitent consulter leurs amis et leur famille en ligne.

La liste comprend des applications plus générales qui vous permettent de participer sans avoir à vous inscrire à l'application (à moins que vous ne soyez l'hôte), et exclut des applications comme Facebook, WhatsApp et FaceTime, qui vous permettent également de faire des chats vidéo, mais elles exigent soit que tous les participants soient membres (Facebook, WhatsApp), soit que vous utilisiez un type de dispositif spécifique (FaceTime, qui est réservé à Apple).

Il y a Skype avec sa fonction de vidéoconférence "Meet Now", Cisco Webex, Starleaf, Jitsi Meet, Slack et Microsoft Teams. Toutefois on est tenté de se demander comment Zoom est devenu le choix populaire depuis le début de l’année alors qu'il existe ces nombreuses alternatives. Plusieurs commentateurs répondent à cette question par « la facilité d’utilisation » de Zoom. « Oui, c'est essentiellement la facilité d'utilisation et aussi une faible barrière d'entrée. Tout le monde peut ouvrir un compte et le plan gratuit permet d'accueillir jusqu'à 100 participants », a écrit l’un d’entre eux. Et vous, à cause de la facilité d’utilisation, continuerez-vous à faire vos réunions sur Zoom malgré les préoccupations de confidentialité et sécurité ?

Sources : Zoom, FBI Boston, Tweet

Et vous ?

Que pensez-vous de la réponse de Zoom aux problèmes de sécurité et de confidentialité ?
Êtes-vous utilisateur de Zoom ? Pourquoi préférez-vous cette application ?
Allez-vous continuer à l’utiliser ou avez-vous opté pour une autre application à cause des problèmes de sécurité ?

Lire aussi

Les réunions sur Zoom ne supportent pas le chiffrement de bout en bout, Zoom a donc la capacité technique d'espionner les réunions vidéo privées
Un ancien hacker de la NSA découvre une faille dans Zoom permettant de prendre le contrôle des Mac, notamment la webcam, le micro et l'accès root, Elon Musk interdit à ses employés de l'utiliser
Microsoft sous pression pour améliorer la vidéo de Teams afin d'empêcher les clients de basculer vers Zoom, la vue 2×2 actuelle ne convenant plus alors que le nombre de réunions en ligne augmente
Zoom divulguerait les adresses mail et photos des utilisateurs, et permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus
4  0 
Avatar de Olivier Famien
Chroniqueur Actualités https://www.developpez.com
Le 09/04/2020 à 2:50
Zoom poursuivi en justice par un de ses actionnaires pour non-divulgation des problèmes de confidentialité et de sécurité,
la valeur de l’action de l’entreprise connait une baisse

Après l’effervescence dont a bénéficié Zoom à cause des mesures de confinement imposant le travail à distance, les utilisateurs et entreprises ont maintenant commencé à prendre du recul vis-à-vis de cette application de vidéoconférence. La raison, de nombreux problèmes de sécurité et de confidentialité ont été rapportés à maintes reprises.

Au cours du mois de janvier, la société de cybersécurité Check Point a montré qu’un pirate peut générer facilement des numéros d’identification de réunion actifs, qu’il peut ensuite utiliser pour se joindre aux réunions si celles-ci n’étaient pas protégées par un mot de passe. Bien que l’entreprise Zoom ait fait plusieurs recommandations comme utiliser des salles d’attente, des mots de passe, des contrôles d’inhibition ou limiter le partage d’écran, le public a continué à utiliser Zoom sans faire recours à ces mesures de sécurité.

En conséquence, de nombreux cas de zoombombing (intrusion non autorisée dans des réunions de personnes utilisant l’application Zoom à l’effet de les perturber) ont été rapportés. Certains rapports font état de personnes s’introduisant dans des réunions pour y ajouter des vidéos pornographiques. Un journal américain rapporta à la fin du mois passé qu’au cours d’une réunion organisée pour des alcooliques anonymes via l’application Zoom, une voix s’est mise à « ;proférer des insultes misogynes et antisémites, ainsi que des références à la consommation d’alcool ;» allant même jusqu’à vanter son goût. Pour freiner ces blagues de mauvais goût, dont les pratiques ne diffèrent en rien des pirates qui s’introduisent sur des systèmes sans autorisation, des procureurs fédéraux du Michigan ont averti le public vendredi dernier en déclarant que le Zoombombing n’est pas une plaisanterie bénigne, mais bien un crime.


En dehors du zoombombing qui préoccupe actuellement les utilisateurs de la plateforme, d’autres problèmes de sécurité ont également été soulevés. La semaine dernière, un ex-hacker de la NSA, Patrick Wardle, a annoncé avoir découvert deux bogues dans l’application Zoom qui permettent à des tiers malveillants de prendre le contrôle d’un ordinateur Mac, notamment la webcam, le microphone, et même l’accès root complet. À la suite de cette découverte, de nombreuses entreprises ont commencé à prendre leur distance par rapport à l’application, y compris Elon Musk, le patron de Tesla et SpaceX et la NSA.

L’application Zoom étant de plus en plus critiquée pour ses problèmes de sécurité, d’autres experts en sécurité ont continué à la disséquer et ont relevé plusieurs problèmes comme le fait que les réunions sur Zoom ne supportent pas le chiffrement de bout en bout, ce qui fait que l’entreprise Zoom pourrait accéder au contenu des réunions réalisées avec son application ou encore que certaines clés de chiffrement de Zoom sont transmises aux participants d’une réunion via des serveurs basés en Chine.

Tous ces problèmes ont poussé des utilisateurs à se retourner contre l’entreprise. La semaine dernière, un utilisateur de Zoom a intenté une action collective contre l’entreprise Zoom Video Communications devant un tribunal de Californie. L’initiative fait suite à des signalements que l’application Zoom pour iOS envoyait des informations d’analytique à Facebook lors de l’ouverture de l’application par les utilisateurs. Consciente du fait qu’elle a beaucoup de choses à corriger dans son application, l’entreprise Zoom s’est mise à travailler pour apporter une réponse aux problèmes de sécurité et de confidentialité qu’on lui reproche. Mais pour l’instant, les actions semblent insuffisantes, car un de ses actionnaires, notamment Michael Drieu, a lancé mardi dernier un recours collectif contre Zoom Video Communications, en accusant l'entreprise d’avoir surévalué ses normes de confidentialité de son application et de n’avoir pas révélé que son service n’était pas chiffré de bout en bout. L’actionnaire Michael Drieu a déclaré dans un dossier judiciaire qu’une série de récents rapports des médias mettant en évidence des failles de confidentialité et de sécurité qui ont conduit à la chute des actions de la société dont la valeur boursière a connu une forte hausse depuis le début de l’année.

Le 27 janvier, une action de Zoom s’échangeait à 70,44 dollars. Elle a ensuite grimpé pour atteindre le pic de 164,50 dollars le 23 mars. Depuis, les scandales ont fait plonger la valeur des actions. Mardi dernier, les actions de la société ont clôturé en baisse de 7,5 % à une valeur de 113,75 dollars. Elles ont perdu près d’un tiers de leur valeur marchande depuis les records atteints à la fin du mois de mars.

La semaine dernière, Eric Yuan, PDG de Zoom, s’est excusé auprès des utilisateurs, affirmant que la société n’avait pas répondu aux attentes de la communauté en matière de confidentialité et de sécurité et qu’elle prenait des mesures pour résoudre les problèmes.

Source : Reuters

Et vous ?

Avec tous ces procès intentés contre Zoom, quels commentaires faites-vous quant à son avenir ;?

Pensez-vous que ces problèmes de sécurité et de confidentialité pourraient amener les utilisateurs à abandonner la plateforme, surtout après la reprise normale des activités ;?

Voir aussi

Zoom annonce un gel des fonctionnalités pendant 90 jours pour résoudre les problèmes de confidentialité et de sécurité, alors que l’application a atteint 200 millions d’utilisateurs quotidiens
Felix Seele de VMRay dévoile comment Zoom s’installe sur macOS sans que vous ayez cliqué sur le bouton « ;installer ;», une pratique louche utilisée par de véritables malwares, selon le responsable
L’éditeur de l’application de vidéoconférence Zoom retire le code du SDK Facebook de la version iOS, car celui-ci transférait les données des utilisateurs vers le réseau social
« ;Essayez ces outils logiciels libres pour garder le contact ;», propose la Free Software Foundation comme meilleures alternatives à Zoom qui a mauvaise presse en matière de sécurité
L’éditeur de l’application de vidéoconférence Zoom poursuivi en justice pour avoir transmis les données des utilisateurs à Facebook via son SDK « ;Facebook Login ;»
3  0 
Avatar de Axel Lecomte
Chroniqueur Actualités https://www.developpez.com
Le 09/04/2020 à 8:59
Google interdit à ses employés d’utiliser Zoom dans le cadre professionnel,
suite aux scandales de sécurité qui secouent la plateforme de visioconférence

En ces temps de crise sanitaire, les outils de visioconférence sont de plus en plus utilisés par les entreprises et les organisations du monde entier pour les réunions. Si Google possède sa propre plateforme, Meet, la filiale d’Alphabet a constaté que ses employés utilisent de plus en plus Zoom pour travailler et socialiser, alors que l’outil est actuellement critiqué pour ses pratiques de collecte de données.


La semaine dernière, Google a alors envoyé un e-mail à ses employés qui ont installé Zoom dans leur ordinateur portable professionnel, indiquant que le logiciel présente des « vulnérabilités de sécurité » et que celui-ci cesserait de fonctionner sur ces appareils à partir de cette semaine.

« Nous avons depuis longtemps pour politique de ne pas autoriser les employés à utiliser des applications non approuvées pour un travail en dehors de notre réseau d’entreprises », explique Jose Castaneda, porte-parole de Google.

Ainsi, « les employés qui utilisent Zoom pour rester en contact avec leur famille et leurs amis peuvent continuer à le faire via un navigateur Web ou via un mobile », précise-t-il.

D’autres entreprises et organisations ont déjà pris la même décision

Google n’est pas la première société qui a interdit à ses employés d’utiliser la plateforme. Le 28 mars, SpaceX a par exemple envoyé un e-mail à ses employés, indiquant que l’accès à Zoom avait été désactivé et préconisant l’utilisation du courrier électronique, des SMS et de téléphone comme « moyens de communication alternatifs ».

Peu de temps après, Stephanie Schierholz, porte-parole de la NASA, a également déclaré que l’agence spatiale américaine allait emprunter le même chemin. S’ensuivent les déclarations du gouvernement taiwanais, du ministère de la Défense du Royaume-Uni ou de l’opérateur télécom philipin PLDT (Philippine Long Distance Telephone Company).

De son côté, le ministère allemand des Affaires étrangères a déclaré : « sur la base des rapports des médias et de nos propres conclusions, nous avons conclu que le logiciel Zoom présente des faiblesses critiques et de graves problèmes de sécurité et de protection des données ». Le ministère a ainsi décidé de bannir la plateforme de ces ordinateurs à connexion fixe. Il reconnaît toutefois que l’interdiction complète de l’utilisation de Zoom est impossible.

L’enseignement à distance étant préconisé à New York, Danielle Filson, porte-parole du département de l’éducation de la ville, a demandé aux écoles d’abandonner l’utilisation de Zoom « dès que possible » et de se tourner vers Microsoft Teams, qui, selon elle, a les « mêmes capacités avec des mesures de sécurité appropriées en place ». Le gouvernement suisse a également annoncé une mesure similaire, dans le cas où son fournisseur principal Skype Entreprise venait à être surchargé.

Zoom recrute l’ancien chef de la sécurité de Facebook suite à la décision de Google

Alex Stamos, ex-chef de la sécurité chez Facebook, avait récemment publié plusieurs tweets, demandant notamment à Zoom d’être plus transparent et de lancer un plan de sécurité qui va durer 30 jours. Il a ensuite été contacté par Eric Yuan, le fondateur de Zoom, pour devenir consultant externe. « Je suis heureux de vous dire que je vais aider Zoom à mettre en place son programme de sécurité », a alors annoncé Stamos.

Source : Reuters

Et vous ?

Que pensez-vous de cette affaire ?
Selon vous, pourquoi certaines entreprises et organisations décident-elles encore d'utiliser Zoom ?

Voir aussi :

Zoom poursuivi en justice par un de ses actionnaires pour non-divulgation des problèmes de confidentialité et de sécurité, la valeur de l'action de l'entreprise connait une baisse
Zoom annonce un gel des fonctionnalités pendant 90 jours pour résoudre les problèmes de confidentialité et de sécurité, alors que l'application a atteint 200 millions d'utilisateurs quotidiens
Le Zoombombing, le fait de s'introduire dans les réunions publiques de Zoom sans y être invité, est un crime, pas une farce, avertissent les autorités US
Skype introduit « Meet Now », une fonctionnalité de visioconférence sans obligation d'inscription, tout en misant sur certaines failles de sécurité constatées chez son concurrent Zoom
« Essayez ces outils logiciels libres pour garder le contact », propose la Free Software Foundation, comme meilleures alternatives à Zoom qui a mauvaise presse en matière de sécurité
3  0 
Avatar de Stan Adkens
Chroniqueur Actualités https://www.developpez.com
Le 23/04/2020 à 18:30
La dernière mise à jour majeure Zoom 5.0 annoncée avec un chiffrement amélioré,
Et plus d'options de sécurité

Zoom a annoncé mercredi de nombreuses options d’améliorations de sécurité et de vie privée dans Zoom 5.0, la dernière mise à jour majeure, alors que l’entreprise n’est qu’à son premier mois de son plan de trois mois annoncé le 1er avril pour identifier, traiter et améliorer les capacités de sécurité et de confidentialité de sa plateforme de vidéoconférence. Dans un article de blog publié mercredi, l’entreprise dit avoir soumis son réseau, l'expérience utilisateur et toutes les fonctionnalités de son client de vidéoconférence à un examen rigoureux. Avec la prochaine version, les utilisateurs pourront bénéficier de l'ajout du chiffrement AES 256 bits GCM, ainsi que de la possibilité de choisir les options de routage des appels.

Zoom a été l'un des premiers bénéficiaires de la hausse de la demande des applications de vidéoconférence - la société est passée de 10 millions d'utilisateurs en décembre à plus de 200 millions en mars -, alors que le nombre de réunions et classes en ligne est en augmentation pour s’adapter à la période du Covid-19. Mais des problèmes de sécurité et de confidentialité, liés au fait que la plateforme n’était prête à accueillir autant d’utilisateurs, ont emmené l’entreprise à annoncer un gel des fonctionnalités pendant 90 jours pour résoudre ces problèmes.


La semaine dernière, l’éditeur de Zoom a annoncé une amélioration des capacités de mots de passe pour les réunions Zoom, les webinaires et les enregistrements dans le cloud. Cette semaine, Il a dévoilé plus de détails de la prochaine version majeure de sa plateforme Zoom qui permet de résoudre de nombreux problèmes de sécurité et de respect de la vie privée ayant fait l’objet de nombreux critiques ces dernières semaines.

Le PDG de la société, Eric S Yuan, a déclaré : « Je suis fier d'atteindre cette étape de notre plan de 90 jours, mais ce n'est que le début. Nous avons bâti notre entreprise en apportant du bonheur à nos clients. Nous allons gagner la confiance de nos clients et allons leur apporter le bonheur en nous concentrant sur la fourniture de la plateforme la plus sûre possible ».

Le passage au chiffrement AES 256 bits GCM est l’une des améliorations majeures dans le réseau Zoom. Ce changement permet de garantir la confidentialité et l'intégrité des données des réunions, des webinaires vidéo et des données des téléphones des utilisateurs de Zoom. Selon l’article de Zoom, la nouvelle norme de chiffrement dans Zoom 5.0, dont la sortie est prévue dans la semaine, prendra effet une fois que tous les comptes seront activés avec GCM. L'activation des comptes à l'échelle du système aura lieu le 30 mai.

Aussi, comme annoncé plus tôt ce mois, Zoom 5.0 présentera un bouton "Sécurité" réunissant toutes les fonctions liées. Oded Gal, directeur général de Zoom, a déclaré :

« Nous avons une vision globale de la vie privée de nos utilisateurs et de la sécurité de notre plateforme. De notre réseau à l'expérience utilisateur, en passant par nos fonctionnalités, tout est soumis à un examen rigoureux. En fin de compte, le chiffrement AES 256 bits GCM va relever la barre pour sécuriser les données de nos utilisateurs en transit. Au premier plan, je suis très enthousiaste au sujet de l'icône "Sécurité" dans la barre de menu de la réunion. Elle met nos dispositifs de sécurité, existants et nouveaux, au premier plan pour nos hôtes de réunion. Avec des millions de nouveaux utilisateurs, cela permettra de s'assurer qu'ils ont un accès instantané à des contrôles de sécurité importants dans leurs réunions ».

Une autre amélioration réseau dans la nouvelle version de Zoom, c’est la possibilité pour les comptes payants de choisir la région dans laquelle ils souhaitent que les données soient routées. Selon la société, l'administrateur du compte peut choisir les régions du centre de données que les réunions et webinaires hébergés par son compte utilisent pour le trafic en temps réel au niveau du compte, du groupe ou de l'utilisateur. Cette fonction est destinée à dissiper les craintes que les chats et les clés de chiffrement de Zoom soient envoyés à des serveurs chinois que Zoom a admises plus tôt ce mois.


Des améliorations pour améliorer l’expérience et les contrôles de l’utilisateur

Icône de Sécurité : Les fonctions de sécurité de Zoom, qui étaient auparavant accessibles dans tous les menus de la réunion, sont maintenant regroupées et accessibles en cliquant sur l'icône de sécurité dans la barre de menu de la réunion sur l'interface de l'hôte.

Contrôles robustes de l'hôte : Les hôtes pourront "signaler un utilisateur" à Zoom via l'icône de Sécurité. Ils pourront également désactiver la possibilité pour les participants de se renommer. Pour les clients du secteur de l'éducation, le partage d'écran est désormais limité par défaut à l'hôte.

Salle d'attente activée par défaut : La salle d'attente, une fonction existante qui permet à un hôte de garder les participants dans des salles d'attente virtuelles individuelles avant qu'ils ne soient admis à une réunion, est maintenant activée par défaut pour les comptes Education, Basic et licence unique Pro. Tous les hôtes peuvent désormais également activer la salle d'attente pendant que leur réunion est déjà en cours.

Complexité du mot de passe pour les réunions et activation par défaut : Les mots de passe pour les réunions, une fonction existante de Zoom, est maintenant activée par défaut pour la plupart des clients, y compris tous les clients Basic, les clients à licence unique Pro et les clients Education du primaire au secondaire. Les administrateurs de compte ont maintenant la possibilité de définir la complexité des mots de passe (tels que la longueur, les caractères alphanumériques et les caractères spéciaux requis). En outre, les administrateurs de Zoom Phone peuvent désormais ajuster la longueur du code PIN nécessaire pour accéder à la messagerie vocale.

Enregistrement des mots de passe dans le cloud : Les mots de passe sont désormais définis par défaut pour tous ceux qui accèdent aux enregistrements dans le cloud, à l'exception de l'hôte de la réunion. Pour les comptes administrés, les administrateurs de compte ont maintenant la possibilité de définir la complexité du mot de passe.

Partage sécurisé des contacts de compte : Zoom 5.0 prendra en charge une nouvelle structure de données pour les grandes organisations, leur permettant de relier les contacts de plusieurs comptes afin que les personnes puissent facilement et en toute sécurité rechercher et trouver des réunions, des chats et des contacts téléphoniques.

Zoom n'est peut-être encore qu’au début de ses efforts, mais les changements annoncés et sa prompte réaction pour répondre aux questions de sécurité et de confidentialité sont bien appréciés. « Ils semblent vraiment écouter et travailler pour résoudre les plus grosses plaintes », a écrit un premier commentateur. Un autre, qui salue les changements, espère que Zoom se conformera réellement et entièrement au GDPR en respectant la vie privée des utilisateurs en Europe. « Cela concerne non seulement les données en transit qui ne quittent pas les centres de données européens de Zoom, mais aussi les données au repos qui doivent être stockées uniquement en Europe et efficacement chiffrées avec un algorithme AES 256 bits », a-t-il ajouté.

Source : Zoom

Et vous ?

Que pensez-vous des améliorations annoncées par Zoom ?
Êtes-vous utilisateur de Zoom ? Ces changements résolvent-ils l’ensemble des problèmes de sécurité et de confidentialité de la plateforme ?
Pensez-vous que la correction des faiblesses attirera davantage d’utilisateurs sur Zoom ?

Lire aussi

Certaines clés de chiffrement de Zoom sont transmises aux participants d'une réunion via des serveurs en Chine selon les chercheurs, Zoom l'admet et s'explique
Zoom met à jour son logiciel pour améliorer la protection par mots de passe des vidéoconférences, et pour sécuriser les enregistrements sur le cloud
Zoom annonce un gel des fonctionnalités pendant 90 jours pour résoudre les problèmes de confidentialité et de sécurité, alors que l'application a atteint 200 millions d'utilisateurs quotidiens
Zoom poursuivi en justice par un de ses actionnaires pour non-divulgation des problèmes de confidentialité et de sécurité, la valeur de l'action de l'entreprise connait une baisse
3  0