IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

L'éditeur de l'application de vidéoconférence Zoom retire le code du SDK Facebook de la version iOS
Car celui-ci transférait les données des utilisateurs vers le réseau social

Le , par Patrick Ruiz

425PARTAGES

12  0 
Ce changement intervient après des signalements que l'application Zoom pour iOS envoyait des informations d’analytique à Facebook lors de l’ouverture de l'application par les utilisateurs.

Vendredi, l'éditeur de l'application de vidéoconférence Zoom a publié une mise à jour de son application iOS qui empêche l'envoi de certaines données à Facebook. Cette décision fait suite à une analyse de l'application qui a révélé qu'elle envoyait au géant des réseaux sociaux des informations. Toutefois, la version de la politique de confidentialité de l’application Zoom au moment de l’analyse ne faisait pas mention de ce transfert de données vers Facebook, ce que l’éditeur a tenu à expliquer dans un billet de blog y relatif.



« Zoom prend la vie privée de ses utilisateurs très au sérieux. Nous aimerions vous faire part d'un changement que nous avons apporté concernant l'utilisation du SDK Facebook.

Nous avons initialement mis en place la fonctionnalité "se connecter via Facebook" en utilisant le SDK Facebook pour iOS afin de fournir à nos utilisateurs un autre moyen pratique d'accéder à notre plateforme. Cependant, nous avons été informés le mercredi 25 mars 2020 que le SDK de Facebook recueillait des informations non nécessaires à la fourniture de nos services. Les informations collectées par le SDK Facebook ne comprenaient pas d'informations et d'activités liées aux réunions telles que les participants, les noms, les notes, etc., mais plutôt des informations sur les appareils telles que le type et la version du système d'exploitation mobile, le fuseau horaire de l'appareil, le système d'exploitation de l'appareil, le modèle et l'opérateur de mobile de l'appareil, la taille de l'écran, les cœurs de processeur et l'espace disque.

La confidentialité de nos clients est incroyablement importante pour nous et c'est pourquoi nous avons décidé de supprimer le SDK Facebook de notre client iOS et avons reconfiguré la fonctionnalité afin que les utilisateurs puissent toujours se connecter à Facebook via leur navigateur. Les utilisateurs devront se mettre à jour avec la dernière version de notre application qui est déjà disponible à 14h30, heure du Pacifique, le vendredi 27 mars 2020, pour que ces changements soient effectifs et nous les encourageons vivement à le faire », précise-t-il.

Facebook offre un certain nombre d’outils technologiques pour les développeurs de logiciels et l’un des plus populaires est Facebook Login au centre de la note d’information de l’éditeur de l’application Zoom. Facebook Login permet aux internautes de se connecter à un site Web ou une application en utilisant les informations de connexion à leur compte Facebook, ce qui évite d’en créer de nouvelles. Les internautes s’en servent probablement parce que l’outil est facile d’utilisation (en deux clics, ils peuvent se connecter à une application) et élimine le besoin de se souvenir d'une nouvelle combinaison pseudo/mot de passe.

En 2015, un professeur de l’université de Cambridge du nom d’Aleksandr Kogan a créé une application appelée « thisisyourdigitallife » qui s’appuyait sur Facebook Login. Quelque 270 000 personnes en avaient fait usage (de Facebook Login) pour créer des comptes sur son application. Trois ans plus tard, le scandale Cambridge Analytica éclatait révélant la divulgation des données personnelles d’une cinquantaine de millions d’utilisateurs du réseau social (Facebook).

Le parallèle importe quand on sait que du scandale Cambridge Analytica à l’affaire Zoom le dénominateur commun d’un point de vue technique est que le développeur qui choisit de faire usage de Facebook Login dispose de certains droits d’accès (offerts par les responsables du réseau social) aux données des utilisateurs. À l’époque du scandale Cambridge Analytica, l’ouverture avait été telle qu’à partir des données des 270 000 premiers utilisateurs, Aleksandr Kogan avait pu être entré en possession de celles de leur réseau d’amis. Depuis, le niveau de détail avec lequel des développeurs tiers peuvent entrer en possession des données personnelles se serait resserré, mais l'utilisation de Facebook Login reste l’un des moyens dont les développeurs tiers se servent pour recueillir des données d’analyse de leur audience.

Source : blog Zoom

Et vous ?

Qu’en pensez-vous ?
L’éditeur de Zoom a-t-il décidé de retirer le SDK de son client simplement pour éviter d’avoir mauvaise presse ? Dispose-t-il d'autres moyens furtifs pour entrer en possession de ces données ?

Voir aussi :

Facebook a développé une app mobile de reconnaissance faciale qui permettait d'identifier ses employés et leurs amis, en pointant le téléphone dans leur direction
Twitter permet maintenant d'utiliser l'authentification à deux facteurs sans numéro de téléphone, mais il faudra activer la confirmation via une application pour continuer à profiter de 2FA
Google va payer 1,5*million de dollars pour les exploits les plus critiques sur Android, dans le cadre de son programme Android Security Rewards
Facebook teste le mode concurrent, un ensemble de nouvelles fonctionnalités qui aident les apps React à rester réactives et à s'adapter de façon fluide aux capacités et au débit réseau de l'appareil
USA*: deux anciens employés de Twitter accusé d'avoir profité de leur position dans la structure pour espionner des opposants au régime saoudien

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Arb01s
Membre du Club https://www.developpez.com
Le 03/08/2021 à 21:22
Si on veut vraiment de la sécurité, on génère soi-même sa paire publique/privée, on se l'échange par un moyen détourné (pitié, pas en clair par mail), puis on utilise une solution de communication fiable (ProtonMail, Thunderbird, Jami (Ring), Mumble... du logiciel libre ou des acteurs étiques)
L'avantage justement du chiffrement asymétrique et des clés publiques et privées est que l'on peut s’échanger nos clés PUBLIQUES par un medium non chiffré, car c'est justement une clé publique. A contrario, la clef privée ne doit jamais être communiquée à personne, même à nos interlocuteurs de confiance.
4  0 
Avatar de pboulanger
Membre éprouvé https://www.developpez.com
Le 31/08/2023 à 9:33
A l'heure des grands openspaces le télétravail permet de travailler dans un environnement plus serein (moins bruyant) tout en évitant de perdre du temps dans les transports (aller/retour au bureau me coûte 2h30 de transports en commun quand tout va bien). Le télétravail est donc plus intéressant pour ce qui nécessite de la concentration mais il faut faire attention de ne pas se laisser distraire par l'environnement (TV, radio, enfants, etc...): il faut donc une certaine maturité ou volonté.
Malheureusement le télétravail nuit à l'esprit d'équipe: les membres ont moins de contact, ne se voient pas et ont moins d'événements qui permettent de créer une cohésion. La pause café au bureau est souvent un moment de partage et d'échange qui permet de connaître ses collègues et de créer du lien qui transcende l'aspect purement travail. Alors il y a des cafés virtuels et des échanges standards mais, personnellement, je trouve que ça n'a ni le même charme ni le même effet sur l'équipe. Et dans mon passé, j'ai de nombreux souvenirs sur la pause café qui a permet de résoudre des problèmes de travail ou permis de faire émerger des idées.
5  1 
Avatar de Leruas
Membre éclairé https://www.developpez.com
Le 08/08/2023 à 18:20
La blague... ils vivent grâce au télétravail mais ça va être interdit chez eux
3  0 
Avatar de vanquish
Membre chevronné https://www.developpez.com
Le 01/04/2020 à 9:07
Citation Envoyé par Stéphane le calme  Voir le message
[B][SIZE=4]
Pour qu'une réunion Zoom soit chiffrée de bout en bout, le contenu vidéo et audio devrait être chiffré de telle sorte que seuls les participants à la réunion aient la possibilité de la déchiffrer. Le service Zoom lui-même pourrait avoir accès au contenu de la réunion chiffré, mais n'aurait pas les clés de déchiffrement nécessaires pour le déchiffrer (seuls les participants à la réunion auraient ces clés) et, par conséquent, n'aurait pas la capacité technique d'écouter les réunions privées.

En même temps, quand j'ai à l'écran 25 vignettes vidéo, avec mon ADSL faiblard, je me doute que je ne reçois pas les 25 flux vidéo dans leur résolution d'origine.
Ce système fonctionne incroyablement bien, même à 50 sur une connexion 4 Mb/s.
Pour arriver à ce résultat, nul doute qu'un travail est fait sur les vidéos au niveau du serveur avant leur re-dispatchage vers les différents clients, ce qu'interdirait un chiffrement de bout en bout.
2  0 
Avatar de Eric80
Membre éprouvé https://www.developpez.com
Le 08/04/2020 à 15:17
Teams est utlisé depuis un bon moment déjà ds bcp d entreprises, donc il est probable que les failles de sécurités y soient analysées aussi depuis plus longtemps.

Je trouve hallucinant comment zoom est devenue LA plateforme en quelques semaines, et que tout le monde s'y met avec des failles aussi béantes que ce zoombombing.
Preuve que > 80% (à la louche) des utilisateurs ne se soucient guère des pbs de sécurité, car ils n y sont pas initiés.

QQues pistes sur la popularité de Zoom:
https://www.businessinsider.com/zoom...?r=US&IR=T

Avec le renaming de Office 365 en Microsoft 365, Teams devient offert au gd public: probable que le succès de Zoom et surtout le confinement généralisé sont des motivations fortes pour MS de fournir Teams pour tous.
2  0 
Avatar de defZero
Membre extrêmement actif https://www.developpez.com
Le 10/11/2020 à 18:57
Petit rappel de bon sens : le chiffrement de bout en bout sert uniquement à protéger les éditeurs d'éventuelles poursuites judiciaires au cas où leur logiciel serait utilisé à mauvais escient.
Ils peuvent ainsi prétendre ne pas savoir ce qui se tramait sur leur plateforme.
On l'a vu avec Encrochat, il est techniquement et légalement possible d'intercepter les discussions qui transitent sur ces messageries en cas de besoin.
@Jeff_67
Sauf que le chiffrement de bout en bout "bien implémenté", devrait justement rendre impossible toute interception par un tiers puisqu'elle doit être faite en P2P entre les intervenants de la communication sans passer par un serveur centrale.
Le seule moyen de "percer" le chiffrement serait d'avoir la main sur l'un des intervenants de la communication qui doit bien détenir les clés de déchiffrements pour consulter les messages en clair.
Donc que ce soit techniquement ou légalement, c'est juste impossible de d’exiger d'un tiers d'intercepter les communications, puis qu’à la base il n'a aucun moyen d'y accéder en clair, si implémenté dans les règles sans portes dérobés et sans algo de cryptage troués.
2  0 
Avatar de calvaire
Expert éminent https://www.developpez.com
Le 31/08/2023 à 11:27
Moi je bois pas de café j'ai horreur de ca et je fume pas, donc pas de pause café et de pause clope.
je préfère faire le minimum de pause pour rentrer le plus vite chez moi.

les afterwork, je n'y vais jamais ça me fait chier.

Donc les rencontres à la pause clope/café ou au afterwork ne m'ont jamais concernés.

Les seuls interactions que j'ai pendant le déjeuner, et on discute jamais boulot.
on parle des loisirs/de ce qu'on a fait le weekend/pendant les vacances, de politique mais aussi.... des augmentations qu'on a pas, on parle du collègue qui a démissionner et si on faisait pareil quel salaire on peut avoir, de la direction qui fait vraiment de la merde...etc.

J'ai 3 jours de télétravail/semaines et je suis bien dans mon taff et je suis pas en environnement toxique, ce que je veux dire c'est que les discussions entre collègue c'est pas toujours pour apporter de nouvelles idées mais c'est aussi et souvent pour se plaindre du mauvais salaire qui augmente pas alors que le pdg lui a été augmenté de 30 millions, des mauvais outils ou des mauvaises décisions de la boite.

le télétravail permet aussi d'éviter de ce plaindre et d'une certaine façon d’être plus fidèle à l'employeur.

j'ai connu ca il y'a 10ans, dans une grosse boite du cac40, ca faisait 3 ans qu'on avait pas été augmenté et les nouveaux collègues qui venait d’être embauché été mieux payé que nous... du coups a force d'en discuter entre membre de l'équipe (7 personnes) on a tous démissionner quasiment au même moment. Le PO sait retrouvé tout seul et a du vite embaucher et refaire une équipe.
en full remote cette situation ne se serait pas produite.
4  2 
Avatar de palnap
Membre averti https://www.developpez.com
Le 31/08/2023 à 12:09
En même temps quand on voit leur produit phare... Ça laisse un doute 😅

Cf. https://ifuckinghatejira.com/
2  0 
Avatar de el_slapper
Expert éminent sénior https://www.developpez.com
Le 08/04/2020 à 7:54
ma boite (américaine) vient de proscrire Zoom pour les communications internes. Je suppose que ce n'est pas un hasard. On utilise Teams- mais je ne sais pas si c'est plus sécurisé, ou si les failles ne sont pas encore connues...
1  0 
Avatar de
https://www.developpez.com
Le 11/11/2020 à 7:03
Citation Envoyé par defZero Voir le message
Sauf que le chiffrement de bout en bout "bien implémenté", devrait justement rendre impossible toute interception par un tiers puisqu'elle doit être faite en P2P entre les intervenants de la communication sans passer par un serveur centrale.
Le seule moyen de "percer" le chiffrement serait d'avoir la main sur l'un des intervenants de la communication qui doit bien détenir les clés de déchiffrements pour consulter les messages en clair.
Donc que ce soit techniquement ou légalement, c'est juste impossible de d’exiger d'un tiers d'intercepter les communications, puis qu’à la base il n'a aucun moyen d'y accéder en clair, si implémenté dans les règles sans portes dérobés et sans algo de cryptage troués.
En l’occurence, dans l’affaire Encrochat, la gendarmerie a eu légalement accès aux serveurs situés en France grâce à une commission rogatoire pour diffuser un malware et trouer la sécurité des terminaux à l’insu des usagers. Aux USA, c’est encore mieux, le Patriot Act peut contraindre les entreprises à trouer la sécurité de leurs logiciels avec interdiction de le dévoiler publiquement.
1  0