Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Entre promesses et mises à jour, Zoom fait le point sur sa sécurité

Premiers pas d'une longue marche
Internet 4 min
Entre promesses et mises à jour, Zoom fait le point sur sa sécurité
Crédits : Assemblée nationale

Pris dans la tourmente pour la sécurité des données qui lui sont confiées, l’entreprise a publié plusieurs billets de blog ces derniers jours pour s’expliquer. Outre d'importantes mises à jour, des améliorations sont en approche.

Pour Zoom, il s’agissait avant tout d’éteindre l’incendie qui menaçait de l’engloutir. En cause, une accumulation assez invraisemblable de problèmes de sécurité ces dernières semaines.

Mauvaises pratiques sur l’installation des clients, création de serveurs web secrets, ignorance manifeste de règles élémentaires de sécurité, intégration d’un SDK Facebook sans en connaître tous les aléas, vulnérabilités diverses, options par défaut laissant trop de marge aux participants, collecte de données trop importante, ajout automatique de contacts basé sur le seul domaine de l’adresse email utilisée, routage de certains appels par la Chine…

Les problèmes étaient tellement flagrants – et les articles de presse si nombreux sur ces sujets – que l’éditeur a annoncé une pause de trois mois dans ses développements pour se concentrer sur la sécurité.

Ces derniers jours, il a copieusement communiqué, s’expliquant sur les décisions prises, les projets à venir et les modifications déjà faites.

Nouvelles applications : des choix par défaut nettement plus logiques

Premièrement, de nouvelles versions ont été déployées pour l’ensemble des plateformes supportées. Elles contiennent toutes un nouveau bouton Sécurité rassemblant les contrôles liés : verrouillage de la réunion, activation de la salle d’attente, expulsion de participants, restrictions diverses (partage d’écran, discussion texte, renommage des participants et annotations).

De plus, certains comportements par défaut ont changé. La salle d’attente est maintenant active dès le début, permettant de filtrer les participants. Même chose pour les mots de passe, actifs par défaut. Les participants issus du même domaine ne sont plus visibles, et l’option de remplissage automatique de la liste de contacts a disparu. Les participants ne peuvent plus se renommer eux-mêmes, à moins d’y être expressément autorisés.

Ces changements vont dans le bon sens, même si on espérait que le partage d’écran serait coupé par défaut. Cette fonction a permis ces dernières semaines des intrusions de type « zoombombing », autorisant certains plaisantins à débarquer dans les conférences pour partager des contenus choquants. En revanche, le partage de fichiers a été désactivé, une faille y ayant été découverte.

Ces aménagements sont disponibles pour l’ensemble des utilisateurs gratuits, pour les comptes K-12 Education ainsi que pour les licences Pro unitaires.

Le choix de la région pour les comptes Pro

Deuxièmement, Zoom déploiera à partir du 18 avril une nouvelle fonction pour les comptes Pro : le choix de la région par laquelle les données peuvent circuler. Ces régions sont : États-Unis, Canada, Europe, Inde, Australie, Chine, Amérique Latine et Japon/Hong Kong.

Les administrateurs pourront spécifiquement choisir des régions dans lesquelles les données ne doivent pas passer, ou au contraire en choisir des préférentielles. La région par défaut ne peut pas être modifiée. Elle est sélectionnée par géolocalisation, Zoom précisant que pour la majorité des utilisateurs, il s’agit des États-Unis. Concernant la Chine, les tunnels HTTPS ont été stoppés le 3 avril pour empêcher tout routage accidentel des données depuis les autres zones.

Changements à venir et conseillers en sécurité

Zoom communique abondamment, son PDG Eric Yuan ayant publié plusieurs billets de blogs. On peut par exemple y apprendre que l’éditeur va changer deux éléments importants pour le chiffrement des données : le passage d’AES-256 ECB à AES-256 GCM (beaucoup plus robuste) d’ici environ 45 jours ainsi qu’une génération par l’utilisateur de la clé, plutôt que par Zoom.

Zoom s’entoure également d’une sélection de personnes venant du milieu des communications et de la sécurité. Un conseil spécifique a été créé avec des intervenants en provenance de HSBC, NTT Data, Procore, Ellie Mae et autres entreprises des télécommunications. Au sein des conseil, ont lieu des discussions sur les thématiques de la vie privée, de la sécurité, des problèmes techniques ou encore des meilleures pratiques à adopter.

Un Advisory Board est également créé. Y participent une partie du précédent conseil ainsi que d’autres personnalités venues d’ailleurs. Alex Stamos, anciennement directeur de la sécurité chez Facebook, le rejoint notamment en tant que conseiller. D’autres experts dans ce domaine sont issus de VMware, Netflix, Uber et Electronic Arts notamment.

Enfin, Eric Yuan a répondu le 8 avril à une série de questions au sein de son premier webinaire « Ask Eric Anything ». La plupart des réponses ont trait aux mesures déjà nommées précédemment. Le prochain se tiendra demain.

37 commentaires
Avatar de Romaindu83 INpactien
Avatar de Romaindu83Romaindu83- 14/04/20 à 10:15:44

Zoom, intéressante application que certaines entreprises américaines ont utilisé pour annoncer à leurs salariés qu'ils étaient licenciés, suite à l'épidémie de Covid19 au pays de l'Oncle Sam. Le licenciement collectif par visioconférence... Ah, le rêve américain. Une bonne publicité que Zoom se serait bien passé. Chez nous, peu d'articles ont en parlé mais aux Etats-Unis, ça a fait causé.

Pour le reste, effectivement, question sécurité, Zoom est un gruyère. Dernièrement, des comptes piratés se sont retrouvés sur le Dark Web. La Croix-Rouge interdit son utilisation ; la France et Taïwan déconseillent à ses fonctionnaires de l'utiliser ; Aux Etats-Unis, Google, Tesla, le Sénat et le département de l'éducation de New-York sont sur la même ligne. Aux Etats-Unis, les procureurs des Etats de New-York, de Floride et du Connecticut mènent une enquête sur les pratiques de l'entreprise en termes de protection de vie privée et de sécurité.

C'est intéressant de s'apercevoir que malgré tout, Zoom est toujours autant plébiscité alors qu'il existe des alternatives plus sécures, comme Microsoft Teams, notamment pour les professionnels, ou encore Slack ou Jitsi Meet. Parfois, il est nécessaire d'arrêter avec de faire des fixations avec une interface, une ergonomie et un style d'utilisation quand la sécurité fait défaut.

Édité par Romaindu83 le 14/04/2020 à 10:16
Avatar de trou Abonné
Avatar de troutrou- 14/04/20 à 10:18:31

Enfin, dans l'interview au NYT, le CEO a dit :
> Mr. Yuan said Zoom never felt the need
> until now to rigorously examine the platform’s privacy and security implications for consumers. “If not > for this crisis,” he said, “I think we would have never thought about this.”

C'est incroyable !

Édité par trou le 14/04/2020 à 10:19
Avatar de gendy54 Abonné
Avatar de gendy54gendy54- 14/04/20 à 10:34:04

Romaindu83 a écrit :

La Croix-Rouge interdit son utilisation

Pas en France en tout cas. C'est l'outil par défaut des confcall qui a été installé déjà depuis 1 an environ.

Avatar de dylem29 Abonné
Avatar de dylem29dylem29- 14/04/20 à 10:35:25

Licenciement via une appli de vidéoconférence...c'est horrible. :craint:

Avatar de Juju251 Abonné
Avatar de Juju251Juju251- 14/04/20 à 10:35:43

Romaindu83 a écrit :

C'est intéressant de s'apercevoir que malgré tout, Zoom est toujours autant plébiscité alors qu'il existe des alternatives plus sécures, comme Microsoft Teams, notamment pour les professionnels, ou encore Slack ou Jitsi Meet. Parfois, il est nécessaire d'arrêter avec de faire des fixations avec une interface, une ergonomie et un style d'utilisation quand la sécurité fait défaut.

Le problème, c'est qu'il y a toute une catégorie d'utilisateurs pour lesquels la facilité d'utilisation l'emporte sur tout le reste.
D'ailleurs en général, ces personnes n'ont pas conscience des enjeux de la sécurité informatique. :fou:

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 14/04/20 à 11:13:35

Parfois, il est nécessaire d'arrêter avec de faire des fixations avec une interface, une ergonomie et un style d'utilisation quand la sécurité fait défaut.

"Celui qui est prêt à sacrifier un peu d'ergonomie pour un peu de sécurité ne mérite..."

Non, plus sérieusement, il faut que les "devs/techniciens" arrêtent de considérer l'expérience utilisateur comme quantité négligeable: c'est un facteur d'adoption, bordel !

Avatar de Schmultruc Abonné
Avatar de SchmultrucSchmultruc- 14/04/20 à 11:19:11

Si j'ai bien lu l'article, les modifications envisagées ne concernent que les comptes payants et les "K12 Education".
Dans ce cas, les cessions gratuites sont toujours pleines de trous !!!

Avatar de FabianRODES Abonné
Avatar de FabianRODESFabianRODES- 14/04/20 à 11:30:39

Les améliorations de Sécurité, dont la capacité de choisir la localisation de stockage de ses données, ni même l'adhésion au RGPD https://zoom.us/fr-fr/gdpr.html) ne permet à Zoom de s'affranchir du Cloud Act.

 Cette loi, rappelons le, permet à l'administration américaine (enfin à ses services, heu disons spécialisés) de solliciter l'accès aux données d'une entreprise américaine, sans recourir à des décisions de justices US ou d'autres pays, et sans prévenir les clients finaux de ces données. Cette loi d’extraterritorialité s'applique bien évidemment aux données hors territoires des US, la localisation d'un DataCenter en Europe impose juste à la filiale UE de tenir un registre des traitements, qui devrait à priori intégrer que son contrôle d'accès permet aussi aux techniciens de sa maison mère basée aux US d'accéder aux données du datacenter hors US.
 
Cette situation ci prévaut bien évidemment pour toutes les autres sociétés américaines d'offres de visoconférence : Microsoft/Teams, Cisco/Webex, LogMeIn/GotoMeeting, BlueJeans, LifeSize, 247Meeting, PGI/GlobalMeet Collaboration, HighFive, ...

En vous rappelant le célèbre adage : "Quand c'est gratuit, c'est vous le produit"
 
Il reste quoi alors hors-US ? Moins d'offres certes, mais il en existe tout de même : du gratuit comme WhereBy (mais limité à 5), Unify ou encore Tixeo pour du sécurisé (certification ANSSI).

Avatar de Lyaume Abonné
Avatar de LyaumeLyaume- 14/04/20 à 11:53:01

Est-ce que Jami peut être considéré comme une alternative également ?
On parle souvent des autres mais jamais de ce dernier qui semble avoir une structure décentralisée !

Avatar de Soriatane Abonné
Avatar de SoriataneSoriatane- 14/04/20 à 12:21:40

Je suppose que les solutions autohébergé de Jisti ou Nextcloud Talk ou d'instance de CHATONS ne peuvent être sous le coup du Cloud Act.
Les CHATONS ou le petit serveur hébergé chez un particulier ne sont soumis à la loi américaine.

Il n'est plus possible de commenter cette actualité.
Page 1 / 4