0

  • Votre panier est vide.

  • LOGIN

Zoom pris dans le débat sur la cybersécurité – Voici tout ce que vous devez savoir

Zoom Cybersécurité

Certains articles de veille peuvent faire l'objet de traduction automatique.

Au cours des dernières semaines, l’utilisation du logiciel de vidéoconférence Zoom a explosé depuis qu’il est devenu la plateforme de choix pour tout ce qui concerne les réunions de cabinet à des cours de yoga dans le contexte de l’épidémie de coronavirus en cours et le travail à domicile est devenu la nouvelle norme.

L’application est montée en flèche jusqu’à 200 millions d’utilisateurs quotidiens d’une moyenne de 10 millions en décembre – ainsi qu’une augmentation de 535 % du trafic quotidien vers sa page de téléchargement le mois dernier – mais elle a également constaté une augmentation massive des problèmes de Zoom, qui sont tous dus à des pratiques de conception et des mises en œuvre de sécurité négligées.

Au départ, Zoom n’a peut-être jamais conçu son produit au-delà du chat d’entreprise, mais avec l’application qui est maintenant utilisée de multiples façons et par des consommateurs réguliers, toute la gamme des gaffes de l’entreprise est devenue très pointue – ce qu’elle a pu éviter pendant tout ce temps.

mot de passe auditeur

Mais si cet examen public peut en faire un produit plus sûr, cela ne peut être qu’une bonne chose à long terme.

Une liste de questions à traiter

L’ascension rapide et soudaine de Zoom en tant que service de communication essentiel l’a conduit à se noyer dans une mer de failles en matière de vie privée et de sécurité.

Mais Zoom est-il un malware ?

En tant que gardien rapportéCertains experts le pensent. Mais non, Zoom n’est pas un logiciel malveillant. Il s’agit plutôt d’un logiciel légitime qui, malheureusement, présente de nombreuses failles de sécurité et dont nous commençons à peine à prendre connaissance, car l’application n’a jamais été examinée aussi minutieusement auparavant –

  • Zoom’s politique de protection de la vie privée a été critiquée pour avoir permis de recueillir des données importantes sur ses utilisateurs – comme des vidéos, des transcriptions et des notes partagées – et de les partager avec des tiers à des fins personnelles. Le 29 mars, Zoom a renforcé sa politique de confidentialité en déclarant qu’il n’utilise pas les données des réunions à des fins publicitaires. Mais elle utilise les données lorsque les gens visitent ses sites web de marketing, notamment ses pages d’accueil zoom.us et zoom.com.
  • L’application iOS de Zoom, comme de nombreuses applications utilisant le SDK de Facebook, a été trouvée l’envoi de données analytiques au réseau social même si l’utilisateur n’a pas de compte Facebook lié. Plus tard, il a supprimé cette fonctionnalité.
  • Le zoom est venu sous l’objectif pour son « suivi des participants« qui, lorsqu’elle est activée, permet à un hôte de vérifier si les participants cliquent en dehors de la fenêtre principale de zoom pendant un appel. Le 2 avril, elle a supprimé définitivement la fonction de suivi de l’attention des participants. L’hôte d’une réunion Zoom peut, de même, lire les messages texte privés envoyés pendant l’appel s’il enregistré localement.
  • Chercheur en sécurité Felix Seele a constaté que Zoom utilise une technique « louche » pour installer son application Mac sans interaction avec l’utilisateur en utilisant « les mêmes astuces que celles utilisées par les logiciels malveillants MacOS », permettant ainsi d’installer l’application sans que les utilisateurs ne donnent leur consentement final. Le 2 avril, Zoom a publié un correctif pour résoudre le bogue.
  • Les chercheurs ont découvert une faille dans L’application Windows de Zoom qui le rendait vulnérable à la vulnérabilité de l' »injection de chemin UNC » qui pouvait permettre à des attaquants à distance de voler les identifiants de connexion Windows des victimes et même d’exécuter des commandes arbitraires sur leurs systèmes. Un correctif a été publié le 2 avril pour remédier à cette faille et à deux autres bogues signalés par Patrick Wardle qui permet aux mauvais acteurs d’obtenir des privilèges de root et d’accéder au micro et à la caméra sur macOS, ce qui permet d’enregistrer les réunions Zoom.
  • Zoom a été trouvé en utilisant un fonction d’exploration des données qui fait automatiquement correspondre les noms et les adresses électroniques des utilisateurs à leur profil LinkedIn lorsqu’ils se connectent – même s’ils sont anonymes ou utilisent un pseudonyme lors de leur appel. Si un autre utilisateur de leur réunion était abonné à un service appelé LinkedIn Sales Navigator, il pouvait accéder aux profils LinkedIn des autres participants à ses réunions Zoom sans que ces utilisateurs le sachent ou y consentent. En réponse, Zoom a désactivé cette fonction.
  • Vice a révélé que Zoom fuit les adresses électroniques de milliers d’utilisateurs et des photos, et laisser des étrangers essayer d’initier des appels entre eux. En effet, les utilisateurs ayant le même nom de domaine dans leur adresse électronique (fournisseurs de messagerie non standard qui ne sont pas Gmail, Outlook, Hotmail ou Yahoo !) sont regroupés comme s’ils travaillaient pour la même entreprise. Zoom a mis ces domaines sur une liste noire.
  • Le 3 avril 2020, le Washington Post a indiqué qu’il était trivial de trouver des enregistrements vidéo réalisés dans Zoom en recherchant le modèle de nom de fichier commun que Zoom applique automatiquement. Ces vidéos ont été trouvées sur des seaux de stockage Amazon accessibles au public.
  • Les chercheurs ont créé un nouvel outil appelé « zWarDial« qui recherche les identifiants de réunion Zoom ouverts, trouvant environ 100 réunions par heure qui ne sont pas protégées par un mot de passe.
  • Zoom affirme qu’il utilise le cryptage de bout en bout pour sécuriser les communications se sont révélées trompeuses. La société a déclaré que dans une réunion où chaque participant utilise un client Zoom et qui n’est pas enregistré, toutes sortes de contenus – vidéo, audio, partage d’écran et chat – sont cryptés côté client et ne sont jamais décryptés avant d’atteindre les autres récepteurs. Mais si l’un des services à valeur ajoutée, comme l’enregistrement dans le nuage ou la téléphonie par ligne commutée, est activé, Zoom a accès aux clés de décryptage, qu’il conserve actuellement dans le nuage. Cela permet également aux « pirates informatiques ou à une agence de renseignement gouvernementale d’obtenir facilement l’accès à ces clés », a déclaré l’expert en sécurité Matthew Green a déclaré.
  • Recherche ultérieure par Laboratoire des citoyens a constaté qu’ils étaient également vagues sur le type de cryptage utilisé, les clés générées pour les opérations cryptographiques étant « délivrées aux participants d’une réunion Zoom par l’intermédiaire de serveurs en Chine, même lorsque tous les participants à la réunion, et l’entreprise de l’abonné à Zoom, sont en dehors de la Chine ». L’audio et la vidéo de chaque réunion Zoom sont cryptées et décryptées avec un seul AES-128 utilisé en mode BCE qui est partagé entre tous les participants. L’utilisation de Mode BCE n’est pas recommandé car les motifs présents dans le texte en clair sont préservés lors du cryptage.
  • Eric S. Yuan, PDG de Zoom, a répondu à Les conclusions du Citizen LabEn effet, étant donné la période de fort trafic, ils ont été contraints d’ajouter rapidement de la capacité de serveur, et « dans notre hâte, nous avons ajouté par erreur nos deux centres de données chinois à une longue liste de ponts de secours, permettant potentiellement à des clients non chinois de se connecter à ceux-ci – dans des circonstances extrêmement limitées ».
  • Ensuite, il y a Zoombombingoù les trolls profitent des réunions ouvertes ou non protégées et des mauvaises configurations par défaut pour s’approprier le partage d’écran et diffuser du matériel pornographique ou d’autres contenus explicites. Le FBI a émis un avertissement, invitant les utilisateurs à ajuster leurs paramètres pour éviter le détournement des appels vidéo. À partir du 4 avril, Zoom a commencé à activer le Fonctionnement de la salle d’attente (qui permet à l’hôte de contrôler quand un participant se joint à la réunion) et en exigeant des utilisateurs qu’ils entrent un mot de passe de réunion pour éviter les abus généralisés.

Devriez-vous utiliser Zoom ou non ?

Pour rendre à César ce qui lui revient, Zoom a réagi à ces révélations de manière rapide et transparente, et a déjà corrigé un certain nombre de problèmes mis en évidence par la communauté de la sécurité.

En outre, la société a annoncé une Gel de 90 jours sur la publication de nouvelles fonctionnalités pour « mieux identifier, traiter et résoudre les problèmes de manière proactive ». Elle vise également à mener un examen complet avec des experts tiers et à publier un rapport de transparence qui détaille les informations liées aux demandes de données, de dossiers ou de contenu par les services répressifs.

En fin de compte, tout se résume à ceci : faut-il continuer à utiliser Zoom ? Il serait facile d’examiner tous ces défauts et de dire que les gens devraient simplement se tenir à l’écart de Zoom. Mais ce n’est pas si simple.

Il est intéressant de noter que, pour la première fois, nous sommes témoins d’opinions différentes de la part des experts de la communauté de la cybersécurité. Certains disent qu’il est malvenu de critiquer Zoom à cette phase critique où le logiciel aide les gens à faire leur travail à distance, alors que d’autres pensent qu’il vaut mieux abandonner la plateforme pour d’autres alternatives.

Cependant, certains ont également adopté une position neutre, concluant que le choix du Zoom dépend totalement de la modèle de menace.

Le fait que Zoom ait conçu et mis en œuvre son propre cryptage est un signal d’alarme majeur, car les systèmes personnalisés ne font pas l’objet du même examen et de la même évaluation par les pairs que les normes de cryptage que nous utilisons tous aujourd’hui.

« Les problèmes de sécurité les plus importants avec Zoom concernent des dispositifs délibérés destinés à réduire les frictions dans les réunions, qui, par leur conception, réduisent également la vie privée ou la sécurité, » Laboratoire des citoyens écrit dans son rapport.

Le plus important pour les utilisateurs réguliers est simplement de bien réfléchir à leurs besoins en matière de sécurité et de confidentialité pour chaque appel qu’ils passent. La sécurité de Zoom est probablement suffisante si elle ne sert qu’à des conversations informelles ou à l’organisation d’événements sociaux et de conférences.

Pour tout ce qui nécessite le partage d’informations sensibles, il existe des options plus sûres comme le Jitsi auto-hébergé, le Signal et le Wire.

Citizen Lab, qui a identifié un grave problème de sécurité avec la fonction Salle d’attente de Zoom, a encouragé les utilisateurs à utiliser la fonction de mot de passe pour un « niveau de confidentialité plus élevé que celui des salles d’attente ».

Donc si vous avez peur d’être zombifié, définir un mot de passe pour la réunionet verrouiller une réunion une fois que tous ceux qui doivent y participer l’ont fait. Pour plus de conseils sur la manière de sécuriser les appels Zoom, vous pouvez lire le document de l’EFF guide pratique ici.

Voir aussi :

février 11, 2021

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles par catégories

S’abonner à la newsletter


Publicité

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)