Pris dans la tourmente pour la sécurité des données qui lui sont confiées, l’entreprise a publié plusieurs billets de blog ces derniers jours pour s’expliquer. Outre d'importantes mises à jour, des améliorations sont en approche.
Pour Zoom, il s’agissait avant tout d’éteindre l’incendie qui menaçait de l’engloutir. En cause, une accumulation assez invraisemblable de problèmes de sécurité ces dernières semaines.
Mauvaises pratiques sur l’installation des clients, création de serveurs web secrets, ignorance manifeste de règles élémentaires de sécurité, intégration d’un SDK Facebook sans en connaître tous les aléas, vulnérabilités diverses, options par défaut laissant trop de marge aux participants, collecte de données trop importante, ajout automatique de contacts basé sur le seul domaine de l’adresse email utilisée, routage de certains appels par la Chine…
Les problèmes étaient tellement flagrants – et les articles de presse si nombreux sur ces sujets – que l’éditeur a annoncé une pause de trois mois dans ses développements pour se concentrer sur la sécurité.
Ces derniers jours, il a copieusement communiqué, s’expliquant sur les décisions prises, les projets à venir et les modifications déjà faites.
Nouvelles applications : des choix par défaut nettement plus logiques
Premièrement, de nouvelles versions ont été déployées pour l’ensemble des plateformes supportées. Elles contiennent toutes un nouveau bouton Sécurité rassemblant les contrôles liés : verrouillage de la réunion, activation de la salle d’attente, expulsion de participants, restrictions diverses (partage d’écran, discussion texte, renommage des participants et annotations).
De plus, certains comportements par défaut ont changé. La salle d’attente est maintenant active dès le début, permettant de filtrer les participants. Même chose pour les mots de passe, actifs par défaut. Les participants issus du même domaine ne sont plus visibles, et l’option de remplissage automatique de la liste de contacts a disparu. Les participants ne peuvent plus se renommer eux-mêmes, à moins d’y être expressément autorisés.
Ces changements vont dans le bon sens, même si on espérait que le partage d’écran serait coupé par défaut. Cette fonction a permis ces dernières semaines des intrusions de type « zoombombing », autorisant certains plaisantins à débarquer dans les conférences pour partager des contenus choquants. En revanche, le partage de fichiers a été désactivé, une faille y ayant été découverte.
Ces aménagements sont disponibles pour l’ensemble des utilisateurs gratuits, pour les comptes K-12 Education ainsi que pour les licences Pro unitaires.
Le choix de la région pour les comptes Pro
Deuxièmement, Zoom déploiera à partir du 18 avril une nouvelle fonction pour les comptes Pro : le choix de la région par laquelle les données peuvent circuler. Ces régions sont : États-Unis, Canada, Europe, Inde, Australie, Chine, Amérique Latine et Japon/Hong Kong.
Les administrateurs pourront spécifiquement choisir des régions dans lesquelles les données ne doivent pas passer, ou au contraire en choisir des préférentielles. La région par défaut ne peut pas être modifiée. Elle est sélectionnée par géolocalisation, Zoom précisant que pour la majorité des utilisateurs, il s’agit des États-Unis. Concernant la Chine, les tunnels HTTPS ont été stoppés le 3 avril pour empêcher tout routage accidentel des données depuis les autres zones.
Changements à venir et conseillers en sécurité
Zoom communique abondamment, son PDG Eric Yuan ayant publié plusieurs billets de blogs. On peut par exemple y apprendre que l’éditeur va changer deux éléments importants pour le chiffrement des données : le passage d’AES-256 ECB à AES-256 GCM (beaucoup plus robuste) d’ici environ 45 jours ainsi qu’une génération par l’utilisateur de la clé, plutôt que par Zoom.
Zoom s’entoure également d’une sélection de personnes venant du milieu des communications et de la sécurité. Un conseil spécifique a été créé avec des intervenants en provenance de HSBC, NTT Data, Procore, Ellie Mae et autres entreprises des télécommunications. Au sein des conseil, ont lieu des discussions sur les thématiques de la vie privée, de la sécurité, des problèmes techniques ou encore des meilleures pratiques à adopter.
Un Advisory Board est également créé. Y participent une partie du précédent conseil ainsi que d’autres personnalités venues d’ailleurs. Alex Stamos, anciennement directeur de la sécurité chez Facebook, le rejoint notamment en tant que conseiller. D’autres experts dans ce domaine sont issus de VMware, Netflix, Uber et Electronic Arts notamment.
Enfin, Eric Yuan a répondu le 8 avril à une série de questions au sein de son premier webinaire « Ask Eric Anything ». La plupart des réponses ont trait aux mesures déjà nommées précédemment. Le prochain se tiendra demain.
