Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

L'éditeur de l'application de vidéoconférence Zoom poursuivi en justice pour avoir transmis les données des utilisateurs à Facebook
Via son SDK « Facebook Login »

Le , par Patrick Ruiz

161PARTAGES

8  0 
Un utilisateur de Zoom a, lundi dernier, intenté une action collective contre l’éditeur de l’application de vidéoconférence devant un tribunal de Californie. L’initiative fait suite à des signalements que l'application Zoom pour iOS envoyait des informations d’analytique à Facebook lors de l’ouverture de l'application par les utilisateurs.

« Lors de l'installation ou à chaque ouverture de l'application Zoom, elle recueille les informations personnelles de ses utilisateurs et les divulgue, sans préavis ni autorisation adéquate, à des tiers, y compris Facebook, portant ainsi atteinte à la vie privée de millions d'individus », rappelle la plainte. En effet, la version de la politique de confidentialité au moment de l’émission du premier signalement ne faisait pas mention de ce transfert de données vers Facebook.

Dans son explication y relative, l’éditeur de l’application Zoom souligne que le choix de s’appuyer sur Facebook Login était motivé par l’envie de fournir aux utilisateurs un moyen pratique de se connecter à Zoom. En effet, Facebook Login est l’un des outils technologiques que le réseau social met à la disposition des développeurs pour permettre aux internautes de se connecter à un site Web ou une application en utilisant les informations de connexion à leur compte Facebook, ce qui évite d’en créer de nouvelles. Les internautes s’en servent probablement parce que l’outil est facile d’utilisation (en deux clics, ils peuvent se connecter à une application) et élimine le besoin de se souvenir d'une nouvelle combinaison pseudo/mot de passe. D’un point de vue technique, le souci (du point de vue de l’utilisateur) avec Facebook Login est qu’il s’agit d’un des moyens dont les développeurs tiers se servent pour recueillir des données d’analyse de leur audience. Ces dernières sont transmises au réseau social et ce dernier donne certains droits d’accès au développeur derrière une application qui s’appuie sur Facebook Login. C’est probablement ce qui explique que l’éditeur n’en fasse pas mention au sein de la politique de confidentialité.

En fait, c’est à peu près le même problème qui revient avec cette fonctionnalité. En effet, un professeur de l’université de Cambridge du nom d’Aleksandr Kogan a, en 2015, créé une application appelée « thisisyourdigitallife » qui s’appuyait sur Facebook Login. Quelque 270 000 personnes (non informées de la transmission de leurs données personnelles vers les serveurs de Facebook) avaient fait usage de Facebook Login pour créer des comptes sur son application. Trois ans plus tard, le scandale Cambridge Analytica éclatait, révélant la divulgation des données personnelles d’une cinquantaine de millions d’utilisateurs du réseau social (Facebook). Depuis l’affaire Cambridge Analytica, les responsables du réseau social auraient restreint le niveau de détail des informations personnelles dont un développeur qui utilise Facebook Login peut bénéficier. Il n’en demeure pas moins qu’en faire usage implique un transfert de données personnelles vers les serveurs de Facebook.


L’éditeur de l’application de vidéoconférence Zoom a procédé au retrait du code du SDK de Facebook suite aux signalements. Il n’en demeure pas moins que pour Robert Cullen (l’auteur de l’action collective), Zoom est, au moment du premier signalement, en violation de la loi californienne sur la protection du consommateur. Ce positionnement (mentionné dans la plainte) est renforcé par le fait que le plaignant souligne que rien ne prouve que l’éditeur de Zoom a obtenu de Facebook qu’il supprime les données à problème. Robert Cullen demande donc des dommages-intérêts en vertu du California Consumer Privacy Act.

L’utilisation de l’application de vidéoconférence a explosé en raison des mesures de confinement en vigueur à cause de la pandémie de coronavirus. Zoom est donc un centre d’intérêt plus important pour les utilisateurs vigilants dont les retours négatifs à propos du service commencent à faire tas. L'un des pus récents est que Zoom ne supporterait pas le chiffrement de bout en bout, ce qui donnerait aux responsables du service la capacité d’espionner les réunions privées.

Source : plainte (PDF)

Et vous ?

Qu’en pensez-vous ?
L’éditeur de Zoom a-t-il utilisé la fonctionnalité Facebook Login en espérant que la collecte des données passerait sous les radars ?

Voir aussi :

Facebook a développé une app mobile de reconnaissance faciale qui permettait d'identifier ses employés et leurs amis, en pointant le téléphone dans leur direction
Twitter permet maintenant d'utiliser l'authentification à deux facteurs sans numéro de téléphone, mais il faudra activer la confirmation via une application pour continuer à profiter de 2FA
Google va payer 1,5 million de dollars pour les exploits les plus critiques sur Android, dans le cadre de son programme Android Security Rewards
Facebook teste le mode concurrent, un ensemble de nouvelles fonctionnalités qui aident les apps React à rester réactives et à s'adapter de façon fluide aux capacités et au débit réseau de l'appareil
USA : deux anciens employés de Twitter accusé d'avoir profité de leur position dans la structure pour espionner des opposants au régime saoudien

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Stéphane le calme
Chroniqueur Actualités https://www.developpez.com
Le 15/10/2020 à 14:06
Zoom annonce qu'il va proposer le chiffrement de bout en bout sous forme de Technical Preview la semaine prochaine,
pour les clients de la version gratuite et payante

Zoom a été l’un des grands bénéficiaires de cette pandémie : le service de visioconférence a vu son pic d’utilisation exploser au point de franchir la barre des 300 millions journaliers d’utilisateurs. Le revers de la médaille a été une attention particulière portée à l’application, notamment par des experts en sécurité. C’est dans ce contexte que des bogues ont été découverts, mais aussi le fait que les réunions Zoom ne supportaient pas le chiffrement de bout en bout.

Dans le livre blanc de Zoom, il existe une liste de « fonctionnalités de sécurité avant la réunion » disponibles pour l'hôte de la réunion qui commence par « Activer une réunion chiffrée de bout en bout (E2E) ». Plus loin dans le livre blanc, il est fait mention de « Sécuriser une réunion avec le chiffrement E2E » comme étant une « capacité de sécurité en réunion » disponible pour les hôtes de réunion. Lorsqu'un hôte démarre une réunion avec le paramètre « Exiger le chiffrement pour les points de terminaison tiers » activé, les participants voient un cadenas vert qui dit, « Zoom utilise une connexion chiffrée de bout en bout » lorsqu'ils passent la souris dessus.

Mais lorsque l’entreprise a été contactée pour savoir si les réunions vidéo sont réellement chiffrées de bout en bout, un porte-parole de Zoom a écrit : « Actuellement, il n'est pas possible d'activer le chiffrement E2E pour les réunions vidéo Zoom. Les réunions vidéo Zoom utilisent une combinaison de TCP et UDP. Les connexions TCP sont établies à l'aide de TLS et les connexions UDP sont chiffrées avec AES à l'aide d'une clé négociée sur une connexion TLS ».

Face à la réaction que cela a provoqué, l’entreprise a décidé de travailler sur ces points de sécurité. L’entreprise a d’abord rappelé que son offre était destinée principalement aux entreprises ; elle n’avait donc pas anticipé la popularité soudaine au sein des utilisateurs personnels.

Elle a proposé dans un premier temps une mise à jour de son application, Zoom 5.0. Cette dernière version s’est accompagnée de mesures de sécurité améliorées qui comprennent un chiffrement plus puissant, des mots de passe par défaut et une nouvelle icône pour un accès facile aux importants paramètres de sécurité. Ce service faisait appel à la norme de chiffrement AES 256 bits GCM. Bien qu’il ne s'agissait toujours pas d'un chiffrement de bout en bout, il venait rendre les réunions beaucoup plus sûres.

Puis Zoom a annoncé avoir fait l’acquisition de Keybase, dont l’équipe va apporter son expertise pour aider Zoom à construire un chiffrement de bout en bout pour ses vidéoconférences « qui pourront atteindre l'évolutivité actuelle de Zoom ».


Le chiffrement de bout en bout est déployé progressivement

Par le biais de Max Krohn, Head of Security Engineering chez Zoom, l'entreprise a annoncé déployer cette offre :

« Nous sommes ravis d'annoncer qu'à partir de la semaine prochaine, l'offre de chiffrement de bout en bout (E2EE) de Zoom sera disponible sous forme de technical preview, ce qui signifie que nous sollicitons de manière proactive les commentaires des utilisateurs pendant les 30 premiers jours. Les utilisateurs de Zoom - gratuits et payants - du monde entier peuvent accueillir jusqu'à 200 participants à une réunion E2EE sur Zoom, offrant une confidentialité et une sécurité accrues pour vos sessions Zoom.

« Nous avons annoncé en mai notre intention de créer une option de réunion chiffrée de bout en bout sur notre plateforme, en plus du chiffrement déjà puissant et des fonctionnalités de sécurité avancées de Zoom. Nous sommes heureux de déployer la première phase sur les quatre de notre offre E2EE, qui fournit des protections robustes pour aider à empêcher l'interception des clés de déchiffrement qui pourraient être utilisées pour surveiller le contenu des réunions. »

Il a précisé que le chiffrement de bout en bout de Zoom « utilise le même chiffrement GCM puissant que vous obtenez actuellement dans une réunion Zoom. La seule différence réside dans l'emplacement de ces clés de chiffrement ».


Dans les réunions classiques, le cloud de Zoom génère des clés de chiffrement et les distribue aux participants à la réunion à l'aide des applications Zoom lorsqu'ils se joignent. Avec l'E2EE de Zoom, l'hôte de la réunion génère des clés de chiffrement et utilise la cryptographie à clé publique pour distribuer ces clés aux autres participants à la réunion. Les serveurs de Zoom deviennent des relais inconscients et ne voient jamais les clés de chiffrement nécessaires pour déchiffrer le contenu de la réunion.

« Le chiffrement de bout en bout est un autre pas en avant pour faire de Zoom la plateforme de communication la plus sécurisée au monde », a déclaré Eric S. Yuan, PDG de Zoom. « Cette phase de notre offre E2EE offre la même sécurité que les plateformes de messagerie chiffrées de bout en bout existantes, mais avec la qualité vidéo et l'évolutivité qui ont fait de Zoom la solution de communication de choix pour des centaines de millions de personnes et les plus grandes entreprises du monde. »

Dans une foire à questions, l'éditeur a tenté d'apporter le plus d'éclaircissements possible aux utilisateurs. Par exemple :
  • Comment Zoom fournit-il un chiffrement de bout en bout ? L’offre E2EE de Zoom utilise la cryptographie à clé publique. En bref, les clés de chaque réunion Zoom sont générées par les machines des participants, et non par les serveurs de Zoom. Les données chiffrées relayées via les serveurs de Zoom sont indéchiffrables par Zoom, car les serveurs de Zoom ne disposent pas de la clé de déchiffrement nécessaire. Cette stratégie de gestion des clés est similaire à celle utilisée par la plupart des plateformes de messagerie chiffrées de bout en bout aujourd'hui.
  • Comment activer E2EE ? Les hôtes peuvent activer le paramètre E2EE au niveau du compte, du groupe et de l'utilisateur et peuvent être verrouillés au niveau du compte ou du groupe. Tous les participants doivent avoir le paramètre activé pour rejoindre une réunion E2EE. Dans la phase 1, tous les participants à la réunion doivent se joindre à partir du client de bureau Zoom, de l'application mobile ou des salons Zoom Room.
  • Ai-je accès à toutes les fonctionnalités d'une réunion Zoom régulière ? Pas tout de suite. L'activation de cette version d'E2EE de Zoom dans vos réunions désactive certaines fonctionnalités, notamment rejoindre la réunion avant l'hôte, l'enregistrement dans le cloud, le streaming, la transcription en direct, les Breakout Rooms, les sondages, le chat privé 1:1 et les réactions aux réunions.
  • Les utilisateurs gratuits de Zoom ont-ils accès au chiffrement de bout en bout ? Oui. Les comptes Zoom gratuits et payants qui se joignent à partir du client de bureau ou de l'application mobile de Zoom, ou d'une Zoom Room, peuvent héberger ou rejoindre une réunion E2EE.
  • En quoi est-ce différent du chiffrement GCM amélioré de Zoom ? Les réunions et webinaires Zoom utilisent par défaut le chiffrement GCM AES 256 bits pour le partage audio, vidéo et d'application (c'est-à-dire le partage d'écran, le tableau blanc) en transit entre les applications Zoom, les clients et les connecteurs. Dans une réunion sans E2EE activé, le contenu audio et vidéo circulant entre les applications Zoom des utilisateurs n'est pas déchiffré tant qu'il n'a pas atteint les appareils des destinataires. Cependant, les clés de chiffrement de chaque réunion sont générées et gérées par les serveurs de Zoom. Lors d'une réunion avec E2EE activé, personne, à l'exception de chaque participant, pas même les serveurs de Zoom, n'a accès aux clés de chiffrement utilisées pour chiffrer la réunion.
  • Comment vérifier que ma réunion utilise le chiffrement de bout en bout ? Les participants peuvent rechercher un logo de bouclier vert dans le coin supérieur gauche de leur écran de réunion avec un cadenas au milieu pour indiquer que leur réunion utilise E2EE. Il ressemble à notre symbole de chiffrement GCM, mais la coche est remplacée par un verrou.


    Les participants verront également le code de sécurité du responsable de la réunion qu’ils peuvent utiliser pour vérifier la connexion sécurisée. L'hôte peut lire ce code à haute voix et tous les participants peuvent vérifier que leurs clients affichent le même code.



Source : Zoom

Voir aussi :

Zoom publie ses résultats trimestriels. Son chiffre d'affaires passe de 145 à 663 millions de dollars et le nombre d'entreprises de plus de 10 employés clientes de Zoom a été multiplié par cinq
Microsoft et Zoom rejoignent le mouvement de suspension du traitement des demandes de données provenant de Hong Kong, comme l'ont fait d'autres entreprises technologiques
Zoom cède à la censure en Chine, et travaille sur une nouvelle fonctionnalité, qui aidera Pékin à cibler les utilisateurs chinois
7  0 
Avatar de Bill Fassinou
Chroniqueur Actualités https://www.developpez.com
Le 04/04/2020 à 19:29
Certaines clés de chiffrement de Zoom sont transmises aux participants d'une réunion via des serveurs en Chine selon les chercheurs,
Zoom l'admet et s'explique

Zoom est une application de téléconférence dont la popularité a considérablement augmenté, étant donné qu'une grande partie du monde est soumise au travail à domicile. L'objectif global de conception de l'application semble être de réduire les frictions lors de la vidéoconférence et de faire en sorte que les choses fonctionnent « simplement ». La popularité de Zoom est montée en flèche depuis le début de la pandémie du Covid-19, mais beaucoup de choses semblent le rattraper à présent.

Les découvertes de failles de sécurité graves se multiplient et Zoom commence par être déprécié par certains patrons de la Tech et d’autres interdisent déjà son utilisation au sein de leurs organisations. Un ex-hacker de la NSA découvre une nouvelle faille de sécurité dans Zoom servant à prendre le contrôle des Mac, en particulier la webcam, le micro et l'accès "root". Selon des chercheurs de l'Université de Toronto, les réunions sur Zoom sont cryptées à l'aide d'un algorithme présentant des failles de sécurité graves et bien connues, et parfois à l'aide de clés émises par des serveurs en Chine, même lorsque les participants aux réunions se trouvent tous en Amérique du Nord.

Dans sa documentation, Zoom prétend utiliser un chiffrement, mais les chercheurs pensent le contraire

La documentation de Zoom prétend que l'application utilise le chiffrement AES-256 pour les réunions. Cependant, les chercheurs ont constaté que dans chaque réunion sur Zoom, une seule clé AES-128 est utilisée en mode ECB par tous les participants pour chiffrer et déchiffrer l'audio et la vidéo. L'utilisation du mode ECB n'est pas recommandée, car les modèles présents dans le texte en clair sont préservés pendant le chiffrement.


Selon les chercheurs, la documentation de Zoom contient un certain nombre d'affirmations peu claires sur le chiffrement proposé par la plateforme. Certaines documentations de Zoom (ainsi que l'application Zoom elle-même) affirment que Zoom offre une fonctionnalité de chiffrement de bout en bout pour les réunions. Toutefois, pour les chercheurs, le terme « chiffré de bout en bout » signifie que seules les parties à la communication peuvent y accéder (et pas les intermédiaires qui relaient la communication). Une autre documentation de Zoom indique que le logiciel de réunion de Zoom pour Windows, MacOS et Linux utilise par défaut le schéma standard TLS 1.2 pour le chiffrement du transport, bien qu'il semblerait que la plateforme n'utilise pas TLS.

Zoom admet que sa plateforme n'implémente pas actuellement le chiffrement de bout en bout

En réponse à cette confusion, dans un billet de blog a publié le premier avril dernier, Zoom apporte des explications sur son schéma de chiffrement. En gros, le billet de blog précise que Zoom n'implémente pas actuellement le chiffrement « de bout en bout », car pour la plupart des gens, le terme "chiffrement de bout en bout" décrit une situation dans laquelle tous les participants à la conférence (à l'exception de ceux qui se connectent via le réseau téléphonique public commuté) sont tenus d'utiliser le chiffrement de transport entre leurs appareils et les serveurs Zoom.

Pour les chercheurs, la définition de "chiffrement de bout en bout" de Zoom ne semble pas être une définition standard, même dans le domaine des solutions de vidéoconférence d'entreprise parce que Zoom n'implémente pas un véritable chiffrement de bout en bout, ils ont la capacité théorique de déchiffrer et de surveiller les appels Zoom. Néanmoins, Zoom mentionne qu'ils n'ont pas construit de mécanisme pour intercepter les réunions de leurs clients.

Zoom envoie certaines clés de chiffrement via des serveurs en Chine

Les clés AES-128, dont les chercheurs disent avoir vérifié qu'elles sont suffisantes pour déchiffrer les paquets Zoom interceptés dans le trafic Internet, semblent être générées par les serveurs Zoom et, dans certains cas, sont remises aux participants d'une réunion Zoom via des serveurs en Chine, même lorsque les participants des réunions sont en dehors de la Chine.

« Lors d'un test d'une réunion Zoom avec deux utilisateurs, l'un aux États-Unis et l'autre au Canada, nous avons constaté que la clé AES-128 pour le chiffrement et le déchiffrement de la conférence avait été envoyée à l'un des participants via TLS à partir d'un serveur Zoom apparemment situé à Pékin. Une analyse montre un total de cinq serveurs en Chine et 68 aux États-Unis qui exécutent apparemment le même logiciel de serveur Zoom. Nous pensons que les clés peuvent être distribuées via ces serveurs », selon les chercheurs.


Le logo de Zoom au-dessus du nom de l'une des entreprises de développement chinoises de Zoom, « Ruanshi Software Ltd.»

Cependant, le PDG de Zoom, Eric S Yuan, a déclaré que le routage des appels US via des serveurs chinois n'est pas la norme et ne s'est produit qu'en raison du trafic élevé. « Pendant les opérations normales, les clients Zoom tentent de se connecter à une série de centres de données principaux dans ou à proximité de la région d'un utilisateur, et si ces multiples tentatives de connexion échouent en raison d'une congestion du réseau ou d'autres problèmes, les clients atteindront deux centres de données secondaires à partir d'une liste de plusieurs centres de données secondaires comme pont de sauvegarde potentiel vers la plate-forme Zoom. Dans tous les cas, les clients Zoom reçoivent une liste de centres de données appropriés à leur région. Ce système est essentiel à la fiabilité des marques de Zoom, en particulier en cette période ».

Zoom, une société basée dans la Silicon Valley, semble détenir trois sociétés en Chine par le biais desquelles au moins 700 employés sont payés pour développer le logiciel Zoom. Ce serait apparemment un effort de Zoom pour éviter de payer des salaires aux Américains lors de la vente à des clients américains, augmentant ainsi leur marge bénéficiaire. Cependant, cela peut rendre Zoom sensible aux pressions des autorités chinoises.

Le procureur général de New York envoie une demande d'explication à Zoom

Lundi, le procureur général de New York, Letitia James, a envoyé une lettre à la société lui demandant de décrire les mesures qu'elle avait prises pour répondre aux problèmes de sécurité et s'adapter à l'augmentation du nombre d'utilisateurs. Dans la lettre, James a déclaré que Zoom avait été lent à traiter les failles de sécurité « qui pourraient permettre à des personnes malveillantes, entre autres, d'accéder subrepticement aux webcams ».

Un porte-parole de Zoom a déclaré qu'il prévoyait d'envoyer à James les informations demandées et de se conformer à la demande. « Zoom prend la confidentialité, la sécurité et la confiance de ses utilisateurs très au sérieux. Pendant la pandémie de Covid-19, nous travaillons sans relâche pour garantir que les hôpitaux, les universités, les écoles et les autres entreprises du monde entier puissent rester connectées et opérationnelles », a déclaré le porte-parole.

Sources : Zoom, Citizen Lab

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Un ancien hacker de la NSA découvre une faille dans Zoom permettant de prendre le contrôle des Mac, notamment la webcam, le micro et l'accès root, Elon Musk interdit à ses employés de l'utiliser

Facebook a développé une app mobile de reconnaissance faciale qui permettait d'identifier ses employés et leurs amis, en pointant le téléphone dans leur direction

Twitter permet maintenant d'utiliser l'authentification à deux facteurs sans numéro de téléphone, mais il faudra activer la confirmation via une application pour continuer à profiter de 2FA

Google va payer 1,5*million de dollars pour les exploits les plus critiques sur Android, dans le cadre de son programme Android Security Rewards

Facebook teste le mode concurrent, un ensemble de nouvelles fonctionnalités qui aident les apps React à rester réactives et à s'adapter de façon fluide aux capacités et au débit réseau de l'appareil
6  0 
Avatar de Bill Fassinou
Chroniqueur Actualités https://www.developpez.com
Le 18/06/2020 à 9:11
Zoom prévoit d'offrir à tous ses utilisateurs gratuits et payants E2EE, un chiffrement de bout en bout pour les appels vidéo,
une version d'essai commence en juillet

Zoom prévoit d'offrir à tous ses utilisateurs gratuit et payant un chiffrement de bout en bout pour les appels vidéo. Le projet de conception d'E2EE, le chiffrement de bout en bout de Zoom en question, a été publié le 22 mai dernier. Zoom annonce avoir collaboré avec des organisations des libertés civiles, des groupes de défense de la sécurité des enfants, des experts en chiffrement, des représentants du gouvernement et ses propres utilisateurs pour mettre en oeuvre E2EE.

Zoom annonce que la version bêta de la fonctionnalité E2EE commence en juillet 2020. Tous les utilisateurs de Zoom continueront d'utiliser le cryptage de transport AES 256 GCM comme cryptage par défaut, E2EE sera une fonctionnalité facultative car elle limite certaines fonctionnalités de réunion, telles que la possibilité d'inclure des lignes téléphoniques PSTN traditionnelles ou des systèmes de salle de conférence matérielle SIP / H.323. Les administrateurs de compte peuvent activer et désactiver E2EE au niveau du compte et du groupe.

La société, dont l'activité a explosé avec les mesures de distanciation contre le covid-19, forçant davantage de personnes à travailler à domicile, s'est transformée en un lieu de rencontre vidéo mondial à partir d'un outil de téléconférence orienté entreprise. Cependant, elle a également été critiquée pour des problèmes de confidentialité et de sécurité, et a fait l'objet de critiques pour avoir omis de divulguer que son service n'était pas entièrement crypté de bout en bout.

En effet, début avril, des chercheurs ont donné des détails sur deux bogues de sécurité découverts dans l'application Zoom. Le client Windows de Zoom perdait ses informations d'identification réseau, car l'application rendait les chemins d'accès aux fichiers UNC cliquables dans les fenêtres de discussion de groupe. Un rapport de The Intercept a également critiqué les pratiques de confidentialité de l’application de vidéoconférence pour avoir prétendument trompé les utilisateurs sur le chiffrement de bout en bout de la plateforme. Mais Zoom avait fini par admettre que l'E2EE n'était pas encore possible pour les réunions vidéo de Zoom et utilise plutôt le chiffrement TLS (Transport Layer Security).


Après une série de défaillances de sécurité, certaines institutions ont interdit l'utilisation de Zoom, la société basée en Californie a embauché en avril l'ancien directeur de la sécurité de Facebook Inc Alex Stamos et a déployé des mises à niveau majeures. Alex Stamos, ex-chef de la sécurité chez Facebook, avait publié plusieurs tweets, demandant notamment à Zoom d’être plus transparent et de lancer un plan de sécurité qui va durer 30 jours. Il a ensuite été contacté par Eric Yuan, le fondateur de Zoom, pour devenir consultant externe. « Je suis heureux de vous dire que je vais aider Zoom à mettre en place son programme de sécurité », a alors annoncé Stamos.

Hier, dans un billet de blog, le PDG de Zoom, Eric S. Yuan,a annoncé que Zoom a publié E2EE sur GitHub. « Nous sommes également heureux de partager que nous avons identifié une voie à suivre qui équilibre le droit légitime de tous les utilisateurs à la confidentialité et à la sécurité des utilisateurs sur notre plateforme. Cela nous permettra d'offrir E2EE en tant que fonctionnalité complémentaire avancée pour tous nos utilisateurs du monde entier - gratuits et payants - tout en conservant la capacité de prévenir et de combattre les abus sur notre plateforme », a-t-il ajouté.

Pour rendre cela possible, les utilisateurs Free / Basic cherchant à accéder à E2EE participeront à un processus unique qui invitera l'utilisateur à fournir des informations supplémentaires, telles que la vérification d'un numéro de téléphone via un message texte.

Source : Zoom

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Eric Yuan, le PDG et fondateur de Zoom, a gagné près de 4 milliards de dollars en l'espace de trois mois suite à l'explosion de l'utilisation de sa plateforme en pleine pandémie de coronavirus

Zoom divulguerait les adresses mail et photos des utilisateurs et permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus

Certaines clés de chiffrement de Zoom sont transmises aux participants d'une réunion via des serveurs en Chine selon les chercheurs, Zoom l'admet et s'explique

Zoom met à jour son logiciel pour améliorer la protection par mots de passe des vidéoconférences et pour sécuriser les enregistrements sur le cloud
6  0 
Avatar de Olivier Famien
Chroniqueur Actualités https://www.developpez.com
Le 03/04/2020 à 2:15
Le responsable technique de VMRay dévoile comment l'application Zoom s'installe sur votre macOS sans que vous ayez cliqué sur le bouton « installer »,
une pratique louche utilisée par de véritables malwares, selon le responsable

Depuis que le monde est passé en mode confinement, les individus, les entreprises et même les établissements éducatifs se sont massivement tournés vers les applications de travail à distance pour continuer leurs activités. Parmi ces applications, Zoom est le service de vidéoconférence qui fait le plus parler de lui depuis que les hommes et les femmes sont contraints de rester à domicile en attendant la fin de la crise sanitaire.

VMRay, une entreprise de sécurité informatique, n’a pas fait exception à la règle et a également demandé à son équipe d’installer Zoom afin de continuer ses activités professionnelles. Felix Seele, responsable technique chez VMRay, a donc installé Zoom sur son ordinateur Mac. Comme pour toutes les installations d’un programme sur macOS, lorsque vous cliquez sur le paquet pkg, le système avertit l’utilisateur qu’il effectuera des vérifications pour déterminer si le logiciel peut être installé, comme l’image ci-dessous le montre.


En cliquant sur le bouton « Continuer », vous serez dirigé sur une autre fenêtre pour valider l’emplacement de l’installation. Après cette étape, vous serez dirigé vers la fenêtre d’installation et lorsque vous cliquerez sur le bouton de validation, l’installation à proprement parler débutera. En principe si vous avez suivi correctement toutes les étapes jusqu’à la fin, Zoom devrait s’installer sur votre système sans problème.

Toutefois, Seele souligne que si vous avez cliqué sur le bouton « Continuer » qui apparaît sur la fenêtre qui annonce que macOS vérifiera si le logiciel peut être installé, et que vous abandonnez l’installation, le programme s’installe quand même. Seele explique que ce que vous devez savoir, c’est que dès que vous cliquez sur le bouton apparaissant sur l’image ci-dessus, au lieu de ne faire que des vérifications de préinstallation, le programme d’installation de Zoom effectue toute l’installation du programme.

Pour mieux comprendre ce qui se passe sous le capot, Seele qui s’est penché sur cette anomalie, rapporte qu’en fait l’entreprise Zoom abuse des scripts de préinstallation pour installer l’application avant même qu’il ait été demandé à l’utilisateur d’installer le programme. Pour ce faire, le programme utilise 7zip qui est intégré au paquet du programme pour décompresser manuellement l’application une fois que l’utilisateur clique sur le bouton pour confirmer la vérification d’avant installation. Ensuite, l’application décompressée est installée à l’aide d’un script dans le répertoire /Applications.


Si l’utilisateur est dans le groupe Admin, ce qui est vrai dans la plupart des cas, et si l’utilisateur n’est pas limité par le service informatique de l’entreprise, des privilèges élevés (« root ») ne sont pas requis pour installer l’application dans le répertoire par défaut / Applications. Si par contre l’utilisateur n’a pas les droits appropriés pour écrire dans le répertoire par défaut /Applications et que le client Zoom n’est pas déjà installé, l’application sera copiée dans le répertoire d’application local à l’emplacement suivant : /Users /<username>/Applications.


Enfin, si le client Zoom est déjà installé dans / Applications, mais que l’utilisateur en cours n’a pas le droit de le mettre à jour, le script lancera un outil d’aide appelé « zoomAutenticationTool » (sic) qui fait également partie du fichier pkg. Cet outil utilise la fameuse et obsolète API système AuthorizationExecuteWithPrivileges() pour afficher une invite de mot de passe afin d’exécuter le script « runwithroot » également fourni avec les privilèges root.


Il n’est pas rare que les applications macOS demandent temporairement des privilèges root, par exemple, pour installer un service persistant ou démarrer un outil d’assistance privilégié. Cependant, Seele souligne que dans ce cas, le programme d’installation de Zoom remplace le message affiché dans l’invite de mot de passe. Au lieu d’afficher un message de type « Zoom a besoin de votre mot de passe pour mettre à jour l’application existante », il utilise le message : « Le système a besoin de vos privilèges pour changer » (sic). Cela donne l’impression que le système d’exploitation demande le mot de passe de l’utilisateur alors qu’il s’agit en fait du programme d’installation de Zoom. Cette attitude est trompeuse dans tous les cas de figure mentionnés. Pour Seele, c’est un cas clair de « bonnes applications qui se comportent mal ».

En principe, lorsqu’un utilisateur ouvre le fichier pkg, il s’attend à donner son consentement avant l’installation. Au lieu de cela, Zoom effectue cette opération instantanément sans autre confirmation. Pour Seele, l’on peut comparer cette situation à un conducteur qui met la clé de la voiture dans le contact, mais au lieu que la radio s’allume et que le moteur démarre, la voiture commence à rouler toute seule. Selon le responsable technique, le second problème, plus grave, est l’invite de mot de passe. Pour Seele, Zoom usurpe l’identité du système pour tromper l’utilisateur avec la technique du « social-engineering » afin qu’il entre son mot de passe dans le champ affiché. Même si Zoom ne capture pas le mot de passe en texte brut, mais demande juste « l’autorisation » du système d’exploitation pour exécuter quelque chose en tant que root, c’est une pratique louche utilisée par de véritables logiciels malveillants macOS (comme Coldroot et Proton) qui prétendent souvent être un processus Apple.

Après avoir découvert ces incohérences, Seele a averti les utilisateurs de Zoom sur Twitter. Cela a fait réagir Eric S. Yuan, le fondateur et CEO de Zoom, qui déclara ceci : « Merci pour votre avis ! Nous avons mis cela en œuvre pour équilibrer le nombre de clics compte tenu des limites de la technologie standard. Rejoindre une réunion à partir d’un Mac n’est pas facile, c’est pourquoi cette méthode est utilisée par Zoom et d’autres. Votre point est bien compris et nous continuerons de nous améliorer ».


Source : Twitter, VMRay

Et vous ?

Utilisez-vous Zoom ? Avez-vous déjà été confronté à des pratiques dans l’application qui vous ont dérangés du point de vue de la sécurité ?

Que pensez-vous de cette découverte ? De quoi remettre en cause l’utilisation de Zoom ?

Que pensez-vous des arguments du CEO de Zoom pour justifier la mauvaise implémentation du processus d’installation de Zoom ? Sont-ils recevables ?

Voir aussi

L’éditeur de l’application de vidéoconférence Zoom poursuivi en justice pour avoir transmis les données des utilisateurs à Facebook via son SDK « Facebook Login »
L’éditeur de l’application de vidéoconférence Zoom retire le code du SDK Facebook de la version iOS, car celui-ci transférait les données des utilisateurs vers le réseau social
Les applications de téléconférence et les nouvelles technologies font l’objet d’une forte demande, dans le contexte de l’épidémie de coronavirus
La préversion publique du client lourd de Microsoft Teams pour Linux est d’ores et déjà disponible, pour les distributions basées sur Debian et Red Hat
5  0 
Avatar de Bill Fassinou
Chroniqueur Actualités https://www.developpez.com
Le 07/04/2020 à 21:37
Le Zoombombing, le fait de s'introduire dans les réunions publiques de Zoom sans y être invité, est un crime, pas une farce,
avertissent les autorités US

Zoom a très vite atteint la barre des 200 millions d’utilisateurs par jour pendant les trois derniers mois où la pandémie du Covid-19 force une bonne partie des travailleurs à exercer en télétravail. Toutefois, ce boom a aussi contribué à exposer au grand jour un nombre considérable de failles de sécurité dont souffre Zoom. L’une d’entre elles, connue sous le nom de Zoombombing, permet aux attaquants de s’introduire dans les appels vidéo d’autres utilisateurs sans y être invités. Pour lutter contre cela, l’État du Michigan a annoncé qu’il considère désormais cela comme un crime.

Le Zoombombing, qu'est-ce que c'est ?

Selon certains analystes, Zoom est actuellement l'application Apple et Android la plus populaire au monde, et son cours a plus que doublé depuis fin janvier, une hausse particulièrement impressionnante si l'on tient compte du krach boursier qui s'est également produit pendant cette période. Mais l’une des menaces qui pourraient le faire totalement plonger est le “Zoombombing”. D’où vient cette faille et comment les pirates l’exploitent-ils ? Cette faille aurait été découverte au même moment que celle qui avait frappé le client Mac de l’application en janvier dernier.

Cette vulnérabilité pouvait pousser les utilisateurs de Mac qui ont (ou ont déjà eu) Zoom installé sur leur appareil à se joindre à des réunions Zoom avec leurs caméras automatiquement activées. Au cours du mois de janvier, la société de cybersécurité Check Point a montré qu’un pirate peut générer facilement des numéros d'identification de réunion actifs, qu'il peut ensuite utiliser pour se joindre aux réunions si celles-ci n'étaient pas protégées par un mot de passe. Zoom a apporté un certain nombre de modifications pour résoudre le problème avec les Mac.


Cependant, la recommandation de Check Point qui demande que les réunions soient protégées par un mot de passe n’a pas été prise en compte par Zoom. Résultat, le Zoombombing a vu le jour et les appels vidéos peuvent rapidement être transformés en séance de visionnage de vidéos peu recommandables. Selon les informations sur le Zoombombing, les réunions publiques de Zoom sont rejointes par un troll qui diffuse des choses comme du porno et des images nazies au reste des participants. La seule façon d’arrêter la diffusion est de couper l’appel.

Il existe des moyens d'atténuer ce problème, comme la protection des réunions par un mot de passe ou la limitation du partage d'écran à l'hôte de la réunion. Mais le fait qu'il soit si facile pour quiconque de se joindre à une réunion publique de Zoom et de la perturber ensuite indique que les développeurs de l’application n'avaient pas prévu que les réunions pouvaient être perturbées à ce point. C’est une chose que toute personne ayant déjà utilisé Internet aurait dû prévoir. Plusieurs procureurs ont saisi Zoom pour savoir comment la société compte arranger la situation.

Le Zoombombing désormais considéré comme un crime dans certains États aux USA

Dans l’heure, d’autres États ont commencé par prendre des mesures pour lutter contre le Zoombombing en attendant que Zoom fasse un effort pour sécuriser au mieux son application. Le Zoombombing est désormais considéré comme un crime dans ces États. Vendredi passé, les procureurs fédéraux du Michigan ont averti le public à travers une déclaration que le Zoombombing n'est pas une plaisanterie bénigne, mais bien évidemment un crime. Les autorités étatiques ont mentionné que la décision découle d’une investigation menée par le FBI pendant la semaine écoulé.

« Les pirates informatiques perturbent les conférences et les salles de classe en ligne avec des images pornographiques et/ou haineuses et un langage menaçant », a déclaré le bureau du procureur américain pour le district Est du Michigan. « Toute personne qui pirate une téléconférence peut être accusée de délits d'État ou fédéraux », a ajouté le bureau. À en croire la note des procureurs, la sanction qui frappera un attaquant qui utilise le Zoombombing sera proportionnelle à la façon dont il s’est introduit dans la réunion et ce qu’il a fait pour la perturber.

Il faut savoir qu’il y a des réunions Zoom dites publiques, ce qui peut rendre difficile l'inculpation d'intrusion informatique. Mais, une personne pourrait quand même être poursuivie pour des choses qu'elle a dites ou faites pour perturber la réunion après l'avoir rejointe. Par ailleurs, il est possible de protéger les réunions grâce à un mot de passe. Cependant, il est totalement déconseillé d'annoncer les informations de connexion sur les médias sociaux ou d'autres canaux publics. La sanction d’une intrusion dans une vidéoconférence privée peut être très sévère.

« Vous trouvez que le Zoombombing est drôle ? Voyons à quel point c'est drôle après votre arrestation », a déclaré Matthew Schneider, avocat américain du Michigan, dans la note du vendredi. « Si vous interférez avec une téléconférence ou une réunion publique dans le Michigan, les forces de l'ordre fédérales, étatiques ou locales pourraient frapper à votre porte », a-t-il ajouté. Les autorités fédérales ont partagé dans la note quelques mesures pouvant être prises pour atténuer les impacts des menaces liées aux téléconférences :

  • ne pas rendre les réunions ou les cours publics. Dans Zoom, il existe deux options pour rendre une réunion privée. Exiger un mot de passe pour la réunion ou utiliser la fonction de salle d'attente et contrôler l'admission des invités ;
  • ne pas partager un lien menant vers une téléconférence ou une salle de classe dans un poste de média social accessible au public sans restriction. Fournissez directement le lien aux personnes qui sont concernées par la réunion ou par la classe ;
  • ne pas gérer les options de partage d'écran dans Zoom, changez le partage d'écran en “Hôte seulement” ;
  • s'assurer que les utilisateurs utilisent la version mise à jour des applications d'accès/réunion à distance. En janvier 2020, Zoom a mis à jour son logiciel. Dans cette mise à jour de sécurité, Zoom a ajouté des mots de passe par défaut pour les réunions et a désactivé la possibilité de rechercher aléatoirement les réunions auxquelles on souhaite participer ;
  • enfin, assurez-vous que la politique ou le guide de votre organisation en matière de télétravail répond aux exigences de sécurité physique et de sécurité de l'information.

Source : La note des procureurs

Et vous ?

Quel est votre avis sur le sujet ?
Partagez-vous le même point de vue que les procureurs ou pas ? Pourquoi ?

Voir aussi

Zoom annonce un gel des fonctionnalités pendant 90 jours pour résoudre les problèmes de confidentialité et de sécurité, alors que l'application a atteint 200 millions d'utilisateurs quotidiens

Les réunions sur Zoom ne supportent pas le chiffrement de bout en bout. Zoom a donc la capacité technique d'espionner les réunions vidéo privées

Un ancien hacker de la NSA découvre une faille dans Zoom permettant de prendre le contrôle des Mac, notamment la webcam, le micro et l'accès root. Elon Musk interdit à ses employés de l'utiliser

Zoom divulguerait les adresses mail et photos des utilisateurs et permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus
5  0 
Avatar de Bill Fassinou
Chroniqueur Actualités https://www.developpez.com
Le 10/11/2020 à 10:10
Zoom aurait menti aux utilisateurs sur le chiffrement de bout en bout pendant des années,
selon une plainte de la FTC

Zoom, le service de visioconférence qui a vu sa cote de popularité explosée avec la pandémie du Covid-19, fait face à de nouvelles allégations en matière de sécurité. Dans une plainte ce 9 novembre, la FTC (Federal Trade Commission) a accusé la société d'avoir trompé les utilisateurs sur le niveau de sécurité de la plateforme de réunion Zoom et a également injustement sapé une fonction de sécurité du navigateur Safari d'Apple. Zoom avait annoncé mi-octobre qu'il allait commencer à proposer le chiffrement de bout en bout sous forme de Technical Preview.

Zoom est l’un des grands bénéficiaires de cette pandémie : il a connu une hausse de son utilisation, en passant de 10 millions en décembre 2019 à 300 millions d'utilisateurs actifs par jour en avril 2020. Le revers de la médaille a été une attention particulière portée à l’application, notamment par les experts en sécurité et les régulateurs, dont la FTC. Ainsi, dès le mois de mars 2020, des bogues ont été relevés dans l'application et il a aussi été découvert que les réunions Zoom ne supportaient pas le chiffrement de bout en bout, ce qui donne la possibilité à l'entreprise d'espionner les réunions vidéo privées.



Zoom maintient les utilisateurs dans une marre de mensonge depuis 2016

« Depuis au moins 2016, Zoom a induit les utilisateurs en erreur en prétendant qu'il offrait "un chiffrement de bout en bout à 256 bits" pour sécuriser les communications des utilisateurs, alors qu'en fait il offrait un niveau de sécurité inférieur », a déclaré lundi la FTC dans l'annonce de sa plainte contre Zoom et de l'accord de principe. « Zoom a, en réalité, conservé les clés de chiffrement qui pouvaient lui permettre d'accéder au contenu des réunions de ses clients, et a sécurisé ses réunions Zoom, en partie, avec un niveau de cryptage inférieur à celui promis », a ajouté le régulateur.

Selon la plainte de la FTC, l'entreprise s'est jouée des utilisateurs de sa plateforme, pourtant importante pour leurs activités, alors qu'elle avait la possibilité et les moyens techniques pour mettre en place une sécurité à l'épreuve des espions. En outre, la FTC estime que les affirmations trompeuses de Zoom ont donné aux utilisateurs un faux sentiment de sécurité, en particulier pour ceux qui ont utilisé la plateforme de l'entreprise pour discuter de sujets sensibles, tels que la santé et les informations financières, pour ne citer que ceux-là.

Par exemple, Zoom a affirmé offrir un chiffrement de bout en bout dans ses guides de conformité à la HIPAA (Health Insurance Portability and Accountability Act) de juin 2016 et juillet 2017, qui étaient destinés aux utilisateurs du service de vidéoconférence dans le secteur de la santé. Dans de nombreux articles de blogue, Zoom a spécifiquement fait valoir son niveau de chiffrement comme une raison pour les clients et les clients potentiels d'utiliser les services de vidéoconférence de Zoom. Cela dit, dans tous les cas, il s'agit de déclarations trompeuses.

La plainte souligne aussi que Zoom a affirmé qu'il offrait un chiffrement de bout en bout dans un livre blanc de janvier 2019, dans un article de blog d'avril 2017 et dans des réponses directes aux demandes de clients et de clients potentiels. Toujours selon la plainte de la FTC, Zoom a également induit en erreur certains utilisateurs qui voulaient stocker des réunions enregistrées sur le stockage en ligne de l'entreprise en prétendant à tort que ces réunions étaient chiffrées immédiatement après la fin de la réunion.

Cependant, au lieu de cela, certains enregistrements auraient été stockés de façon non chiffrée pendant 60 jours sur les serveurs de Zoom avant d'être transférés sur son stockage en ligne sécurisé. Pour régler ces allégations, Zoom a accepté l'obligation d'établir et de mettre en œuvre un programme de sécurité complet, l'interdiction de toute fausse déclaration sur la vie privée et la sécurité, et d'autres mesures détaillées et spécifiques pour protéger sa base d'utilisateurs. Par exemple, Zoom doit :

  • évaluer et documenter annuellement tout risque potentiel de sécurité interne et externe et développer des moyens de protection contre de tels risques ;
  • mettre en œuvre un programme de gestion des vulnérabilités ;
  • déployer des mesures de protection telles que l'authentification à plusieurs facteurs pour se prémunir contre l'accès non autorisé à son réseau ;
  • instituer des contrôles de suppression des données ;
  • prendre des mesures pour empêcher l'utilisation d'identifiants d'utilisateur connus comme étant compromis.

En outre, le personnel de Zoom devra examiner toute mise à jour du logiciel pour détecter les failles de sécurité et s'assurer que les mises à jour n'entraveront pas les fonctions de sécurité de tiers. Par ailleurs, la résolution n'a pas de volet financier, mais le régulateur a déclaré que Zoom serait confrontée à des amendes pouvant aller jusqu'à 43 280 dollars pour chaque violation future de l'accord. En outre, l'action de la société, qui a fortement augmenté cette année, a chuté de plus de 13 % ce lundi en raison de la plainte de la FTC, pour atteindre 433 dollars.

La plainte et le règlement de la FTC couvrent également le déploiement controversé par Zoom du serveur Web ZoomOpener qui a contourné les protocoles de sécurité d'Apple sur les ordinateurs Mac. « Le serveur Web ZoomOpener a permis à Zoom de se lancer automatiquement et de joindre un utilisateur à une réunion en contournant la protection du navigateur Safari d'Apple qui protégeait les utilisateurs contre un type de logiciel malveillant courant », a déclaré la FTC. En effet, Zoom a "secrètement installé" le logiciel dans le cadre d'une mise à jour de Zoom pour Mac en juillet 2018.



Lorsqu'il a été découvert en juillet 2019, Apple a immédiatement publié une mise à jour pour supprimer le serveur des ordinateurs des victimes. « Sans le serveur ZoomOpener Web, le navigateur Safari aurait fourni aux utilisateurs une boîte d'avertissement, avant le lancement de l'application Zoom, qui demandait aux utilisateurs s'ils voulaient lancer l'application ». Selon le régulateur, le logiciel augmentait le risque de surveillance vidéo à distance par des étrangers et restait sur les ordinateurs des utilisateurs même après qu'ils ont supprimé l'application Zoom.

Une autre manœuvre que la FTC trouve plus inquiétante est le fait que le serveur Web ZoomOpener réinstallait automatiquement l'application Zoom, sans aucune action de l'utilisateur, dans certaines circonstances.

Les termes de l'accord avec Zoom divisent les représentants de la FTC

L'accord est soutenu par la majorité républicaine de la FTC (3 voix contre 2), mais les démocrates de la commission se sont opposés parce que l'accord ne prévoit pas de compensation pour les utilisateurs. « Aujourd'hui, la FTC a voté pour proposer un règlement avec Zoom qui suit une formule malheureuse de la FTC », a déclaré le commissaire démocrate de la FTC, Rohit Chopra. « L'accord ne prévoit aucune aide pour les utilisateurs concernés. Il ne fait rien pour les petites entreprises qui se sont appuyées sur les revendications de Zoom en matière de protection des données. Et il n'oblige pas Zoom à payer un centime. La Commission doit changer de cap ».

En effet, l'accord n'oblige pas Zoom à offrir des réparations, des remboursements, ni même d'avertir ses clients que les affirmations matérielles concernant la sécurité de ses services étaient fausses. « Cet échec de l'accord proposé ne rend pas service aux clients de Zoom et limite considérablement la valeur dissuasive de l'affaire. Bien que le règlement impose des obligations de sécurité, il n'inclut aucune exigence qui protège directement la vie privée des utilisateurs », a déclaré la commissaire démocrate Rebecca Kelly Slaughter.

De même, les termes de l'accord n'ordonnent pas clairement à Zoom de mettre en place un chiffrement de bout en bout pour les réunions sur sa plateforme. Toutefois, rappelons-le, Zoom a annoncé le mois dernier qu'il déployait un chiffrement de bout en bout dans un aperçu technique afin de recueillir les réactions des utilisateurs. Enfin, la proposition de règlement est soumise aux commentaires du public pendant 30 jours, après quoi la FTC votera pour la rendre définitive ou non. La période de consultation de 30 jours commencera dès que le règlement sera publié dans le registre fédéral.

L'entreprise devra également faire évaluer son programme de sécurité par des tiers une fois que le règlement sera finalisé et, par la suite, tous les deux ans. Zoom est soumis à cette obligation pendant les vingt prochaines années.

Sources : FTC, Plainte de la FTC (PDF)

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi

Les réunions sur Zoom ne supportent pas le chiffrement de bout en bout, Zoom a donc la capacité technique d'espionner les réunions vidéo privées

Zoom annonce qu'il va proposer le chiffrement de bout en bout sous forme de Technical Preview la semaine prochaine pour les clients de la version gratuite et payante

Zoom publie ses résultats trimestriels. Son chiffre d'affaires passe de 145 à 663 millions de dollars et le nombre d'entreprises de plus de 10 employés clientes de Zoom a été multiplié par cinq
5  0 
Avatar de Bill Fassinou
Chroniqueur Actualités https://www.developpez.com
Le 01/04/2020 à 14:25
Zoom divulguerait les adresses mail et photos des utilisateurs
et permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus

À l’heure où l’épidémie du Covid-19 force la plus grande expérience de télétravail au monde, certaines applications devant permettre ce mode de travail ne semblent pas totalement préparées à un changement aussi radical dans la société. Zoom, l’une des applications de visioconférence qui ont vu leur popularité explosée depuis le début de la crise, affiche à présent des failles de sécurités graves. Selon le rapport du média américain, Zoom divulguerait les informations personnelles des utilisateurs, notamment leurs adresses mails, leurs photos, etc.

Zoom est un outil de visioconférence développée par l’entreprise américaine Zoom Video Communication. Selon un récent rapport, Zoom divulguerait apparemment les adresses mail et photos des utilisateurs. Il permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus à cause de la façon dont l’entreprise gère les contacts. Cela fait en sorte que l'application perçoit certains utilisateurs comme étant des travailleurs de la même organisation. La faille de sécurité réside au niveau du paramètre “Annuaire d’entreprise” de Zoom.

Il ajoute automatiquement d'autres personnes aux listes de contacts d'un utilisateur si elles se sont inscrites avec une adresse électronique qui partage le même domaine. L'idée est de faciliter la recherche d'un collègue spécifique à joindre si le domaine appartient à une entreprise individuelle. Mais plusieurs utilisateurs de Zoom disent s'être inscrits avec des adresses électroniques personnelles, et Zoom les a regroupées avec des milliers d'autres personnes comme s'ils travaillaient tous pour la même entreprise, exposant leurs informations personnelles les uns aux autres.


Cela signifie qu'un utilisateur concerné peut voir les adresses e-mail personnelles et les photos des personnes ayant le même domaine dans son annuaire d'entreprise, même si aucune de ces personnes n'est en fait un collègue. Actuellement, les analystes ne savent pas dans quelle mesure ce problème est répandu ni combien de domaines peuvent être concernés. Toutefois, le rapport contient comme illustration une capture d’écran d’un compte utilisateur avec 995 comptes dans son annuaire d'entreprise. Le concerné a indiqué certains domaines avec lesquels il a eu le problème.

Il a déclaré avoir rencontré le problème avec les domaines xs4all.nl, dds.nl et quicknet.nl. Il s’agit de domaines de messageries électroniques qui appartiennent tous à des fournisseurs d’accès néerlandais. « J'ai été choqué par cela ! Je me suis abonné (avec un pseudonyme, heureusement) et j'ai vu 995 personnes qui me sont totalement inconnues avec leurs noms, images et adresses mail », a déclaré Barend Gehrels, l’utilisateur de Zoom qui a été touché par le problème et qui l'a signalé dans un mail envoyé à Vice. Zoom aurait déjà résolu le problème.

Il a ajouté que sa partenaire avait le même problème avec un autre fournisseur de messagerie et qu'elle avait plus de 300 personnes listées dans ses propres contacts. « Si vous vous abonnez à Zoom auprès d'un fournisseur non standard (je veux dire, pas Gmail ou Hotmail ou Yahoo, etc.), alors vous obtenez un aperçu de tous les utilisateurs abonnés de ce fournisseur : leurs noms complets, leurs adresses e-mail, leur photo de profil (s'ils en ont) et leur statut. Et vous pouvez les appeler par vidéo », a déclaré Gehrels dans son courrier électronique.

D’après le rapport, d’autres utilisateurs ont déclaré sur Twitter avoir rencontré le même problème avec d’autres fournisseurs d’accès Internet néerlandais (FAI). Le FAI néerlandais XS4ALL a tweeté en réponse à une plainte déposée dimanche : « C'est quelque chose que nous ne pouvons pas désactiver. Vous pourriez voir si Zoom peut vous aider à ce sujet ». De son côté, Zoom a déclaré avoir mis ces domaines sur une liste noire après avoir été averti du problème. « Zoom maintient une liste noire de domaines et identifie régulièrement de manière proactive les domaines à ajouter », a déclaré un porte-parole de Zoom.

Il possède également une page où les utilisateurs peuvent demander qu’un domaine soit mis sur liste noire. Zoom a un bilan mitigé en matière de sécurité. En juillet dernier, un chercheur en sécurité a découvert qu'un site Web malveillant pouvait ouvrir un appel vidéo de Zoom sur des Macs sans l'autorisation d'un utilisateur. La société a rapidement mis à jour son logiciel et a désinstallé un serveur Web local qui a créé la vulnérabilité. Check Point Research a publié en janvier un rapport sur une faille qui aurait permis aux pirates d'écouter les appels.

Par ailleurs, Zoom a récemment confirmé que ses appels vidéo ne sont pas réellement cryptés de bout en bout, malgré ce que son site Web prétend. La semaine dernière, Zoom a mis à jour la version iOS de son application lorsqu’il a été signalé qu'elle envoyait des données analytiques à Facebook. Lundi, un utilisateur a intenté une action collective contre Zoom pour le transfert de données. Le même jour, le procureur général de New York a envoyé une lettre à Zoom pour lui demander quelles mesures de sécurité la société avait mises en place, l'application ayant connu une montée en flèche de sa popularité.

Source : Fonctionnalité "Annuaire d'entreprise"

Et vous ?

Qu'en pensez-vous ?

Voir aussi

En Chine, le coronavirus force la plus grande expérience de travail à domicile au monde, le télétravail semble être la seule solution dont disposent les entreprises

Les réunions sur Zoom ne supportent pas le chiffrement de bout en bout. Zoom a donc la capacité technique d'espionner les réunions vidéo privées

Ordinateurs Mac : une faille de sécurité zero-day a été détectée sur le logiciel zoom et pourrait permettre aux sites Web de détourner la caméra
4  0 
Avatar de Bill Fassinou
Chroniqueur Actualités https://www.developpez.com
Le 02/04/2020 à 12:44
Un ancien hacker de la NSA découvre une faille dans Zoom permettant de prendre le contrôle des Mac, notamment la webcam, le micro et l'accès root,
Elon Musk interdit à ses employés de l’utiliser

La popularité de Zoom est montée en flèche depuis le début de la pandémie du Covid-19, mais beaucoup de choses semblent le rattraper à présent. Les découvertes de failles de sécurité graves se multiplient et Zoom commence par être déprécié par certains patrons de la Tech et d’autres interdisent déjà son utilisation au sein de leurs organisations. Elon Musk vient de le faire. Pendant ce temps, un ex-hacker de la NSA découvre une nouvelle faille de sécurité dans Zoom servant à prendre le contrôle des Mac, en particulier la webcam, le micro et l'accès "root".

Depuis le début de l’année, Zoom a gagné une importante part de marché dans la nouvelle expérience de télétravail forcée par la propagation du Covid-19. Cela a fait en sorte que les chercheurs en sécurité se sont intéressés de plus près aux pratiques de Zoom en matière de sécurité et de confidentialité. Mais, le résultat de cette attention va de plus en plus en défaveur de Zoom qui voit sa cote de popularité chuter à nouveau. Un ex-hacker de la NSA, Patrick Wardle, a montré qu’il est toujours possible d’attaquer un Mac à distance et de le contrôler totalement.

Plus précisément, ce dernier a découvert deux nouveaux bogues qui permettent aux pirates de prendre le contrôle de votre Mac, notamment la webcam, le microphone, et même l'accès root complet. Ce type de problème a déjà été observé au sein de Zoom l’été dernier, mais Zoom a annoncé avoir déployé un correctif pour résoudre le problème. Wardle a découvert qu'un attaquant local avec des privilèges d'utilisateur de bas niveau peut injecter du code malveillant dans l'installateur de Zoom pour obtenir le plus haut niveau de privilèges d'utilisateur, l'accès root.


Une fois cette faille exploitée, l'attaquant peut obtenir et maintenir un accès persistant aux entrailles de l'ordinateur de la victime. Cette action lui permet d'installer des logiciels malveillants ou des logiciels espions. Tout ceci se passe sans que la victime s'en aperçoive. Le second bogue découvert par Wardle exploite une faille dans la manière dont Zoom gère la webcam et le microphone sur les Mac. Zoom, comme toute application nécessitant une webcam et un microphone nécessite en premier lieu le consentement de l'utilisateur.

Mais, selon Wardle, un attaquant peut injecter un code malveillant dans Zoom pour le piéger et lui donner le même accès à la webcam et au microphone que celui dont dispose déjà Zoom. Il a réussi à faire charger son code malveillant par Zoom. « Le code hérite automatiquement d'une partie ou de la totalité des droits d'accès de Zoom », a-t-il déclaré. Selon lui, cela inclut l'accès de Zoom à la webcam et au microphone. « Aucune invite supplémentaire ne sera affichée, et le code injecté a pu enregistrer arbitrairement des données audio et vidéo », a-t-il ajouté.

Cela nous amène à la situation actuelle. Les nouvelles découvertes de Wardle en matière de bogues signifient que les Mac sont à nouveau vulnérables à la prise de contrôle des webcams et des micros, en plus de l’accès root d'un Mac. Zoom devra vite réagir pour corriger ces problèmes alors que son logiciel commence à être déprécié. « Si vous vous souciez de votre sécurité et de votre vie privée, vous devriez peut-être arrêter d'utiliser Zoom », a-t-il écrit dans un article de blogue détaillant ce qu’il a trouvé. Elon Musk et la NASA n’ont pas hésité à interdire Zoom.

Selon Reuters, Musk a adressé une note de service aux employés de SpaceX, sa société de fusée, leur demandant d’arrêter d’utiliser Zoom en raison des soucis liés à sa sécurité. L’entreprise a indiqué à ses employés le 28 mars que tous les accès à Zoom concernant la société avaient été désactivés avec effet immédiat. « Nous comprenons que beaucoup d'entre nous utilisaient cet outil pour des conférences et des réunions », a déclaré SpaceX dans sa note. « Veuillez utiliser le courrier électronique, le texte ou le téléphone comme autres moyens de communication ».

La NASA, l'un des plus gros clients de SpaceX, interdit également à ses employés d'utiliser Zoom, a déclaré Stephanie Schierholz, porte-parole de l'agence spatiale américaine. Selon Reuters, lundi dernier, le bureau de Boston du FBI a émis un avertissement à propos de Zoom, disant aux utilisateurs de ne pas rendre publiques les réunions sur le site ou de partager largement les liens après avoir reçu deux rapports d'individus non identifiés envahissant les sessions scolaires, un phénomène connu sous le nom de “zoombombing”.

Il s’est également avéré la semaine dernière que Zoom ne supporte pas le chiffrement de bout en bout pour ses appels, alors que le site de la société disait le contraire. Zoom s’est ensuite excusé pour cela. « Nous voulons commencer par nous excuser pour la confusion que nous avons causée en suggérant à tort que les réunions de Zoom étaient capables d'utiliser un chiffrement de bout en bout », a déclaré Zoom dans un article de blog. « Zoom s'est toujours efforcé de chiffrer le contenu pour le protéger dans le plus grand nombre de scénarios possible, et dans cet esprit, nous avons utilisé le terme de chiffrement de bout en bout ».

Enfin, la société a également déclaré qu'elle chiffre tout le contenu des réunions Zoom où tout le monde utilise l'application Zoom et où les sessions ne sont pas enregistrées. Elle a déclaré qu'elle était actuellement incapable de chiffrer le contenu lorsque les utilisateurs se connectent en utilisant d'autres appareils. Toutefois, en attendant que Zoom corrige ces problèmes, la société risque de perdre énormément d’utilisateurs au profit des solutions concurrentes.

Sources : Patrick Wardle, Reuters

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Les réunions sur Zoom ne supportent pas le chiffrement de bout en bout. Zoom a donc la capacité technique d'espionner les réunions vidéo privées

Zoom divulguerait les adresses mail et photos des utilisateurs et permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus

Ordinateurs Mac : une faille de sécurité zero-day a été détectée sur le logiciel zoom et pourrait permettre aux sites Web de détourner la caméra

En Chine, le coronavirus force la plus grande expérience de travail à domicile au monde, le télétravail semble être la seule solution dont disposent les entreprises
4  0 
Avatar de Stan Adkens
Chroniqueur Actualités https://www.developpez.com
Le 02/04/2020 à 18:45
Zoom annonce un gel des fonctionnalités pendant 90 jours pour résoudre les problèmes de confidentialité et de sécurité,
Alors que l’application a atteint 200 millions d’utilisateurs quotidiens

L'application de vidéoconférence Zoom est devenue un moyen très populaire de rester en contact pour un monde de plus en plus isolé pendant la pandémie de coronavirus, tant pour des réunions personnelles que professionnelles. En même temps Zoom a été confronté à de nombreux problèmes de sécurité et de confidentialité ces dernières semaines, en raison de l'augmentation massive et imprévue de son utilisation, alors que le nombre de réunions en ligne augmente. Pour redonner confiance à ses utilisateurs, l’entreprise a publié un article de blog dans lequel elle s'est excusée pour les « problèmes imprévus » et a promis d'améliorer la situation.

L’application Zoom, destinée aux professionnels, comptait en décembre 2019 une dizaine de millions d'utilisateurs quotidiens. Mais en faveur de la pandémie du coronavirus, le service auparavant méconnu du grand public a connu une croissance fulgurante de ses utilisateurs multipliant par 20 le nombre pour atteindre 200 millions de personnes utilisant Zoom quotidiennement, d’après le PDG de Zoom, Eric S. Yuan. « En mars de cette année, nous avons atteint plus de 200 millions de participants aux réunions quotidiennes, qu'elles soient gratuites ou payantes », déclare Yuan.


« Notre plateforme a été conçue principalement pour les entreprises », explique Yuan. « Nous n'avons pas conçu le produit en pensant que, dans quelques semaines, chaque personne dans le monde travaillerait, étudierait et socialiserait soudainement à partir de chez elle. Nous avons maintenant un ensemble beaucoup plus large d'utilisateurs qui utilisent notre produit d'une myriade de façons inattendues, nous présentant des défis que nous n'avions pas prévus lors de la conception de la plateforme », lit-on dans l’article.

Ce faisant, l’entreprise fait désormais face à deux défis : le défi que représente la prise en charge de 200 millions d'utilisateurs journaliers, contre seulement 10 millions il y a quelques mois, mais aussi les problèmes de confidentialité et de sécurité qui ont été découverts récemment. Pour face à ces défis, Zoom gèle désormais ses mises à jour de fonctionnalités et se concentre plutôt sur ces problèmes.

« Au cours des 90 prochains jours, nous nous engageons à consacrer les ressources nécessaires pour mieux identifier, traiter et résoudre les problèmes de manière proactive », explique Yuan. « Nous nous sommes également engagés à faire preuve de transparence tout au long de ce processus ». Le PDG et fondateur de Zoom explique également comment l'entreprise a réagi à une augmentation massive du nombre d'utilisateurs et a promis de les résoudre.

Des problèmes révélés dans Zoom ces dernières semaines

Cette semaine, Patrick Wardle, un ex-hacker de la NSA, a découvert une nouvelle vulnérabilité qui permet aux pirates de prendre le contrôle de votre Mac, notamment la webcam, le microphone, et même l'accès root complet. Ce type de problème avait déjà été observé au sein de Zoom l’été dernier, mais Zoom avait annoncé avoir déployé un correctif pour résoudre le problème. Wardle a découvert qu'un attaquant local avec des privilèges d'utilisateur de bas niveau peut injecter du code malveillant dans l'installateur de Zoom pour obtenir le plus haut niveau de privilèges d'utilisateur, l'accès root.

Pas plus tard qu’hier, les chercheurs ont détaillé deux nouveaux bogues de sécurité découverts dans l'application Zoom. Le client Windows de Zoom perdait ses informations d'identification réseau, car l'application rendait les chemins d'accès aux fichiers UNC cliquables dans les fenêtres de discussion de groupe. Un rapport de The Intercept a également critiqué les pratiques de confidentialité de l’application de vidéoconférence pour avoir prétendument trompé les utilisateurs sur le chiffrement de bout en bout de la plateforme. Mais Zoom a fini par admettre que l'E2E n'est actuellement pas possible pour les réunions vidéo de Zoom et utilise plutôt le chiffrement TLS (Transport Layer Security).


Un autre problème auquel Zoom est confronté est la façon dont les nouveaux utilisateurs partagent les liens de réunions et de classes en ligne. Cette semaine, la division du FBI à Boston a mis en garde les écoles contre deux cas de "zoom-bombes" par des inconnus dans des salles de classe en ligne de deux lycées différents du Massachusetts. Selon le rapport du FBI Boston, dans un premier cas, un inconnu a crié des injures et a cité l'adresse du domicile de l'enseignant. Dans l'autre, le pirate informatique était visible par les élèves.

Le FBI a mis en garde les écoles contre le fait de rendre publiques des réunions ou des salles de classe et les a incitées à exiger un mot de passe pour les réunions. De plus, il leur a déconseillé de partager des liens vers des salles de classe sur des sites de médias sociaux accessibles au public.

Ces problèmes ont poussé certaines organisations à ne plus utiliser Zoom. SpaceX, qui a reconnu qu'un grand nombre de ses 6 000 employés avaient utilisé Zoom pour des réunions, a maintenant demandé à tous ses employés d'utiliser plutôt le courrier électronique, les SMS ou le téléphone en raison de « graves problèmes de confidentialité et de sécurité », selon un mémo vu par Reuters. L'agence spatiale américaine NASA a également interdit à ses employés d'utiliser Zoom.

Zoom a publié des correctifs de certains problèmes de sécurité signalés

Zoom a déjà pris des mesures pour répondre aux critiques qui lui ont été adressées. Eric Yuan, a souligné dans son article que l'entreprise avait publié une correction du problème des liens UNC dans le client Windows. Yuan dit également avoir publié des correctifs pour les problèmes MacOS signalés par Wardle. En outre, la société a supprimé la fonction de suivi de l'attention des participants et a supprimé le navigateur de vente de LinkedIn dans Zoom, qui, selon elle, divulguait inutilement des données.

L'entreprise a aussi mis à jour sa politique de confidentialité, retiré le SDK Facebook de son application iOS et tenté de résoudre le problème du "zoombombing". Yuan s'est excusé pour la confusion autour de son E2E, et nié avoir construit un mécanisme pour déchiffrer les réunions en direct à des fins d'interception légale.

Gel immédiat des mises à jour fonctionnalité et concentration sur les questions de sécurité et de confidentialité de Zoom

Selon le PDG de Zoom, toutes les ressources d'ingénierie de l’entreprise seront désormais consacrées aux questions de sécurité et de confidentialité, et la société prévoit un « examen complet » avec des tiers pour s'assurer qu'elle traite correctement la sécurité de ces nouveaux cas de consommateurs. Zoom s'engage également à publier un rapport de transparence afin de faire connaître le nombre de demandes de données d'utilisateurs émanant des forces de l'ordre et des gouvernements.

L’entreprise va « améliorer » également son programme de prime aux bogues, en consultant d'autres responsables de la sécurité de l'information dans l'industrie et en utilisant des tests d’intrusion pour identifier d'autres bogues de sécurité. À partir de la semaine prochaine, Yuan organisera un webinaire hebdomadaire, le mercredi, pour fournir des mises à jour sur la sécurité et la protection de la vie privée à la communauté Zoom.

Un chercheur en sécurité a apprécié la réponse de Zoom aux préoccupations de sécurité et confidentialité soulevées par les chercheurs et les utilisateurs :


D'autres meilleures alternatives à Zoom pour la vidéoconférence

Si des nouvelles récentes vous ont rendu hésitant à utiliser Zoom, ou si vous êtes dans l’attente que Zoom apporte des correctifs de sécurité et de confidentialité avant de l’utiliser à nouveau pour vos réunions ou vos classes en ligne, d'autres applications de vidéoconférence sont disponibles. Ces applications, ci-dessous, ont des versions gratuites et certaines offrent un accès temporaire à des fonctionnalités supplémentaires pour ceux qui travaillent actuellement à domicile ou qui souhaitent consulter leurs amis et leur famille en ligne.

La liste comprend des applications plus générales qui vous permettent de participer sans avoir à vous inscrire à l'application (à moins que vous ne soyez l'hôte), et exclut des applications comme Facebook, WhatsApp et FaceTime, qui vous permettent également de faire des chats vidéo, mais elles exigent soit que tous les participants soient membres (Facebook, WhatsApp), soit que vous utilisiez un type de dispositif spécifique (FaceTime, qui est réservé à Apple).

Il y a Skype avec sa fonction de vidéoconférence "Meet Now", Cisco Webex, Starleaf, Jitsi Meet, Slack et Microsoft Teams. Toutefois on est tenté de se demander comment Zoom est devenu le choix populaire depuis le début de l’année alors qu'il existe ces nombreuses alternatives. Plusieurs commentateurs répondent à cette question par « la facilité d’utilisation » de Zoom. « Oui, c'est essentiellement la facilité d'utilisation et aussi une faible barrière d'entrée. Tout le monde peut ouvrir un compte et le plan gratuit permet d'accueillir jusqu'à 100 participants », a écrit l’un d’entre eux. Et vous, à cause de la facilité d’utilisation, continuerez-vous à faire vos réunions sur Zoom malgré les préoccupations de confidentialité et sécurité ?

Sources : Zoom, FBI Boston, Tweet

Et vous ?

Que pensez-vous de la réponse de Zoom aux problèmes de sécurité et de confidentialité ?
Êtes-vous utilisateur de Zoom ? Pourquoi préférez-vous cette application ?
Allez-vous continuer à l’utiliser ou avez-vous opté pour une autre application à cause des problèmes de sécurité ?

Lire aussi

Les réunions sur Zoom ne supportent pas le chiffrement de bout en bout, Zoom a donc la capacité technique d'espionner les réunions vidéo privées
Un ancien hacker de la NSA découvre une faille dans Zoom permettant de prendre le contrôle des Mac, notamment la webcam, le micro et l'accès root, Elon Musk interdit à ses employés de l'utiliser
Microsoft sous pression pour améliorer la vidéo de Teams afin d'empêcher les clients de basculer vers Zoom, la vue 2×2 actuelle ne convenant plus alors que le nombre de réunions en ligne augmente
Zoom divulguerait les adresses mail et photos des utilisateurs, et permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus
4  0 
Avatar de Olivier Famien
Chroniqueur Actualités https://www.developpez.com
Le 09/04/2020 à 2:50
Zoom poursuivi en justice par un de ses actionnaires pour non-divulgation des problèmes de confidentialité et de sécurité,
la valeur de l’action de l’entreprise connait une baisse

Après l’effervescence dont a bénéficié Zoom à cause des mesures de confinement imposant le travail à distance, les utilisateurs et entreprises ont maintenant commencé à prendre du recul vis-à-vis de cette application de vidéoconférence. La raison, de nombreux problèmes de sécurité et de confidentialité ont été rapportés à maintes reprises.

Au cours du mois de janvier, la société de cybersécurité Check Point a montré qu’un pirate peut générer facilement des numéros d’identification de réunion actifs, qu’il peut ensuite utiliser pour se joindre aux réunions si celles-ci n’étaient pas protégées par un mot de passe. Bien que l’entreprise Zoom ait fait plusieurs recommandations comme utiliser des salles d’attente, des mots de passe, des contrôles d’inhibition ou limiter le partage d’écran, le public a continué à utiliser Zoom sans faire recours à ces mesures de sécurité.

En conséquence, de nombreux cas de zoombombing (intrusion non autorisée dans des réunions de personnes utilisant l’application Zoom à l’effet de les perturber) ont été rapportés. Certains rapports font état de personnes s’introduisant dans des réunions pour y ajouter des vidéos pornographiques. Un journal américain rapporta à la fin du mois passé qu’au cours d’une réunion organisée pour des alcooliques anonymes via l’application Zoom, une voix s’est mise à « proférer des insultes misogynes et antisémites, ainsi que des références à la consommation d’alcool » allant même jusqu’à vanter son goût. Pour freiner ces blagues de mauvais goût, dont les pratiques ne diffèrent en rien des pirates qui s’introduisent sur des systèmes sans autorisation, des procureurs fédéraux du Michigan ont averti le public vendredi dernier en déclarant que le Zoombombing n’est pas une plaisanterie bénigne, mais bien un crime.


En dehors du zoombombing qui préoccupe actuellement les utilisateurs de la plateforme, d’autres problèmes de sécurité ont également été soulevés. La semaine dernière, un ex-hacker de la NSA, Patrick Wardle, a annoncé avoir découvert deux bogues dans l’application Zoom qui permettent à des tiers malveillants de prendre le contrôle d’un ordinateur Mac, notamment la webcam, le microphone, et même l’accès root complet. À la suite de cette découverte, de nombreuses entreprises ont commencé à prendre leur distance par rapport à l’application, y compris Elon Musk, le patron de Tesla et SpaceX et la NSA.

L’application Zoom étant de plus en plus critiquée pour ses problèmes de sécurité, d’autres experts en sécurité ont continué à la disséquer et ont relevé plusieurs problèmes comme le fait que les réunions sur Zoom ne supportent pas le chiffrement de bout en bout, ce qui fait que l’entreprise Zoom pourrait accéder au contenu des réunions réalisées avec son application ou encore que certaines clés de chiffrement de Zoom sont transmises aux participants d’une réunion via des serveurs basés en Chine.

Tous ces problèmes ont poussé des utilisateurs à se retourner contre l’entreprise. La semaine dernière, un utilisateur de Zoom a intenté une action collective contre l’entreprise Zoom Video Communications devant un tribunal de Californie. L’initiative fait suite à des signalements que l’application Zoom pour iOS envoyait des informations d’analytique à Facebook lors de l’ouverture de l’application par les utilisateurs. Consciente du fait qu’elle a beaucoup de choses à corriger dans son application, l’entreprise Zoom s’est mise à travailler pour apporter une réponse aux problèmes de sécurité et de confidentialité qu’on lui reproche. Mais pour l’instant, les actions semblent insuffisantes, car un de ses actionnaires, notamment Michael Drieu, a lancé mardi dernier un recours collectif contre Zoom Video Communications, en accusant l'entreprise d’avoir surévalué ses normes de confidentialité de son application et de n’avoir pas révélé que son service n’était pas chiffré de bout en bout. L’actionnaire Michael Drieu a déclaré dans un dossier judiciaire qu’une série de récents rapports des médias mettant en évidence des failles de confidentialité et de sécurité qui ont conduit à la chute des actions de la société dont la valeur boursière a connu une forte hausse depuis le début de l’année.

Le 27 janvier, une action de Zoom s’échangeait à 70,44 dollars. Elle a ensuite grimpé pour atteindre le pic de 164,50 dollars le 23 mars. Depuis, les scandales ont fait plonger la valeur des actions. Mardi dernier, les actions de la société ont clôturé en baisse de 7,5 % à une valeur de 113,75 dollars. Elles ont perdu près d’un tiers de leur valeur marchande depuis les records atteints à la fin du mois de mars.

La semaine dernière, Eric Yuan, PDG de Zoom, s’est excusé auprès des utilisateurs, affirmant que la société n’avait pas répondu aux attentes de la communauté en matière de confidentialité et de sécurité et qu’elle prenait des mesures pour résoudre les problèmes.

Source : Reuters

Et vous ?

Avec tous ces procès intentés contre Zoom, quels commentaires faites-vous quant à son avenir ?

Pensez-vous que ces problèmes de sécurité et de confidentialité pourraient amener les utilisateurs à abandonner la plateforme, surtout après la reprise normale des activités ?

Voir aussi

Zoom annonce un gel des fonctionnalités pendant 90 jours pour résoudre les problèmes de confidentialité et de sécurité, alors que l’application a atteint 200 millions d’utilisateurs quotidiens
Felix Seele de VMRay dévoile comment Zoom s’installe sur macOS sans que vous ayez cliqué sur le bouton « installer », une pratique louche utilisée par de véritables malwares, selon le responsable
L’éditeur de l’application de vidéoconférence Zoom retire le code du SDK Facebook de la version iOS, car celui-ci transférait les données des utilisateurs vers le réseau social
« Essayez ces outils logiciels libres pour garder le contact », propose la Free Software Foundation comme meilleures alternatives à Zoom qui a mauvaise presse en matière de sécurité
L’éditeur de l’application de vidéoconférence Zoom poursuivi en justice pour avoir transmis les données des utilisateurs à Facebook via son SDK « Facebook Login »
3  0