Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Selon d’anciens employés, Dropbox savait pour la sécurité cataclysmique de Zoom

Dans un article du New York Times, on peut lire les témoignages de plusieurs anciens employés de Dropbox. Selon eux, l'éditeur s’était penché sur la sécurité de Zoom il y a plus de deux ans déjà, car l’outil était utilisé au sein de l’entreprise.

Les découvertes auraient été stupéfiantes, au point de décider Dropbox à embaucher secrètement des hackers pour travailler sur la question. Les failles trouvées auraient toutes été signalées à Zoom, dont le temps de réaction était alors sévèrement critiqué.

Ces anciens ingénieurs de Dropbox rejettent d’un revers de la main l’excuse de Zoom : ses problèmes ne datent pas de la crise sanitaire, le service ne peut donc pas se retrancher vers l’impossibilité de prévoir une telle situation.

D’ailleurs, on a pu voir récemment qu’une première mise à jour a basculé de nombreux réglages par défaut sur des choix infiniment plus logiques pour mieux protéger la vie privée des utilisateurs. Le chiffrement va également être renforcé. Mais la route sera longue pour redorer un blason particulièrement terni.

7 commentaires
Avatar de dylem29 Abonné
Avatar de dylem29dylem29- 22/04/20 à 08:35:58

S'ils savaient depuis 2 ans, l'excuse de l'amateurisme ne fonctionne plus.

 

Avatar de Sabinoo INpactien
Avatar de SabinooSabinoo- 22/04/20 à 08:42:16

Ah ben purée, je suis tombé sur un exemple de hack de Zoom qui pue bien grave, tenez donc
https://twitter.com/noemie_issan/status/1252331326016978944

Je sais que sur internet il ne faut jamais tout prendre sans méfiance, hein, mais si c'est avéré, ça craint :(

Avatar de secouss Abonné
Avatar de secousssecouss- 22/04/20 à 09:08:36

C'est marrant un, "Business By Design" primera toujours sur "Privacy By Design"

Avatar de bilbonsacquet Abonné
Avatar de bilbonsacquetbilbonsacquet- 22/04/20 à 09:28:53

Sabinoo a écrit :

Je sais que sur internet il ne faut jamais tout prendre sans méfiance, hein, mais si c'est avéré, ça craint :(

Ce que tu décris n'est probablement pas un hack, mais un mauvais réglage de la conférence…

Ça peut arriver à beaucoup de service de visio lorsque la personne autorise tout le monde à partager son écran et / ou du contenu, ce qui était le réglage par défaut des visio Zoom…

Avatar de PSXBH Abonné
Avatar de PSXBHPSXBH- 22/04/20 à 10:00:31

Ce n'est pas un hack, c'est un simple Zoom Bombing parce que la réunion était publique. C'est triste mais la prochaine fois, faudra mettre un mot de passe.

Avatar de Norde Abonné
Avatar de NordeNorde- 22/04/20 à 10:11:51

Difficile de pouvoir faire confiance à cette appli / société, même dans un futur lointain.

Avatar de jpaul Abonné
Avatar de jpauljpaul- 22/04/20 à 12:02:18

C'est "triste" mais quand tu développes une appli de communication, tu configures pas la visio en public "par défaut, comme ça les utilisateurs trouveront ça simple".

Enfin je sais pas, ça me choque autant que si un fournisseur de boite mail la laissait grand ouverte par défaut, comme ça on va pas emmerder les utilisateurs avec une page de login sérieux. En plus ils oublient tout le temps leur mot de passe, autant pas les embêter avec ça.

Non, Zoom a délibérément choisi de faire son business sur la simplicité absolue d'utilisation, même si pour ça ils ont dû :

  • mettre par défaut les réunions en mode open bar

  • installer un serveur web local ouvert aux quatre vents sur l'extérieur sur macOS

  • faire télécharger un .exe à chaque fois que tu veux rejoindre une réunion

    En gros zoom n'en n'a juste rien à carrer de la sécurité et utilise depuis le début des comportements volontairement destinés à contourner les protections de l'OS. Quand même, le coup du serveur openbar, et quand je dit openbar, c'est pas à cause d'une faille dans leur système d'authentification hein, mais bien l'absence de tout système d'authentification. Parce que la sécurité ils en ont probablement pas grand chose à faire de la leur, mais alors de la tienne, ils en ont ouvertement rien à carrer. Et la seule raison c'est pour que leurs commerciaux puissent dire "vous voyez, deux clics, et ça marche".

    Et ça, ce n'est pas un problème technique mais un problème très profond de mentalité et de business model.

Il n'est plus possible de commenter cette actualité.