Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Visioconférence : Mozilla dresse une liste d’applications de confiance, dont ZoomCrédits : Assemblée nationale

Le père de Firefox s’est penché sur 15 services de visioconférence pour en vérifier le respect des règles élémentaires de sécurité. Il ne s’agit donc pas de tests complets, mais de ce que l’éditeur nomme les « Minimum Security Standards ».

Cinq critères sont donnés :

  • Données chiffrées
  • Réactivité sur les mises à jour de sécurité
  • Robustesse du mot de passe pour créer et se connecter
  • Gestion des vulnérabilités
  • Une politique claire de confidentialité

À l’aune de ces paramètres, 12 services sur 15 ont passé le test : Zoom, Google Duo/HangoutsMeet, Apple FaceTime, Skype, Facebook Messenger, WhatsApp, Jitsi Meet, Signal, Microsoft Teams, BlueJeans, GoTo Meeting et Cisco WebEx.

On peut s’étonner de la présence de Zoom, mais Mozilla note que les récentes mises à jour vont dans le bon sens et que les principaux points noirs ont été gommés. 

Cela étant, les standards posés par l’éditeur sont effectivement minimaux. On ne saurait s’attendre à moins tellement ils semblent évidents. Trois d’entre eux n’ont pourtant pas réussi le test : Houseparty, Discord et Doxy.me. Sur quoi échoue Discord ? Simplement la création du mot de passe, le service réclamant à peine six caractères. Plus grave, il est possible de ne le composer qu’avec un seul type de caractère. Mozilla a pu utiliser par exemple « 111111 ».

Dans l’ensemble, le billet de Mozilla ne « mange pas de pain » pour des habitués des règles de sécurité, mais a le mérite de rappeler l’essentiel. Notamment que toutes les applications testées chiffrent les données, mais que tous les chiffrements ne sont pas égaux. Rappelons que Zoom n’est passé que très récemment de l’AES-128 au 256.

15 commentaires
Avatar de Vekin Abonné
Avatar de VekinVekin- 29/04/20 à 08:32:01

S'il n'y avait que ça comme problème avec Discord... Son respect de votre vie privée est catastrophique : https://forums.lecrabeinfo.net/topic/10601-discord-et-vie-priv%C3%A9e-article-tr... :transpi:

Édité par Vekin le 29/04/2020 à 08:32
Avatar de fred131 INpactien
Avatar de fred131fred131- 29/04/20 à 08:34:14

Bizarre la fondation Mozilla a choisi RIOT im comme messagerie instantanée interne et elle ne l'inclue pas dans ses tests ?
 

Avatar de Obidoub Abonné
Avatar de ObidoubObidoub- 29/04/20 à 08:52:56

Quand Discord pète un câble t'oblige à fournir un N° de mobile pour vérifier et débloquer ton compte, c'est pas top en matière de vie privée.

Avatar de bilbonsacquet Abonné
Avatar de bilbonsacquetbilbonsacquet- 29/04/20 à 09:31:47

Obidoub a écrit :

Quand Discord pète un câble t'oblige à fournir un N° de mobile pour vérifier et débloquer ton compte, c'est pas top en matière de vie privée.

Mouais, visiblement tous les nouveaux comptes Discord sont obligés de fournir un numéro de tel, même si on veut mettre de l'authentification par token… La sécurité a bon dos pour récupérer des numéros de tél…

Un truc à savoir pour discord mais ce ne sont pas les seuls, les documents diffusés dans les conversations privées sont "publics" dans le sens où si on a son URL on peut y accéder sans authentification.

Avatar de eres Abonné
Avatar de ereseres- 29/04/20 à 10:02:33

il faudrait surtout que l'implémentation de WebRTC soit un peu plus propre, il y a encore quelques soucis et c'est plutôt gênant de pousser les utilisateurs (j'ai réussi jusqu'à maintenant à maintenir FF comme browser de référence dans ma boite) pas passer sur chrome pour stabiliser une connexion webConf WebRTC

Avatar de Paul Muad'Dib Abonné
Avatar de Paul Muad'DibPaul Muad'Dib- 29/04/20 à 11:08:03

eres a écrit :

il faudrait surtout que l'implémentation de WebRTC soit un peu plus propre, il y a encore quelques soucis et c'est plutôt gênant de pousser les utilisateurs (j'ai réussi jusqu'à maintenant à maintenir FF comme browser de référence dans ma boite) pas passer sur chrome pour stabiliser une connexion webConf WebRTC

Il y a un mode entreprise pour gérer Firefox avec toutes les contraintes inhérentes au monde professionnel ?

Avatar de Zebulon84 Abonné
Avatar de Zebulon84Zebulon84- 29/04/20 à 12:13:06

Rappelons que Zoom n’est passé que très récemment de l’AES-128 au 256.

l'AES-128 est largement suffisant aujourd'hui, sauf pour des utilisations ou vous risquez d'être la cible d'une organisation décidée à décrypter vos communications.

128 Bit or 256 Bit Encryption? - Computerphile - Youtube

Avatar de jon1138 INpactien
Avatar de jon1138jon1138- 29/04/20 à 12:22:51

bilbonsacquet a écrit :

Un truc à savoir pour discord mais ce ne sont pas les seuls, les documents diffusés dans les conversations privées sont "publics" dans le sens où si on a son URL on peut y accéder sans authentification.

sérieux ?? Donc genre si quelqu'un envoie un document de travail ou une photo privée (sans que ce soit olé-olé hein, je veux dire une photo d'amis, de famille etc), ce doc peut être vu par n'importe qui ??

Avatar de tazvld Abonné
Avatar de tazvldtazvld- 29/04/20 à 14:17:06

Oui, mais il faut le lien URL.

En faite, la photo est uploader sur les serveur de discord, qui créer un lien URL et c'est ce lien qui est partagé avec ton contact (c'est la même interface si tu colle l'URL d'une image sur le web).
Il n'y a donc aucune protection qui garantie que seul les personnes dans la conversation puissent accéder aux images partagé, mais pour y accéder, il faut connaitre le lien.

Mais en soit, ce n'est pas caché par Discord, et vu le but premier de Discord (l'information privé attendu serait plus la stratégie de ta guilde dans la prochaine bataille), ce n'est pas forcément un problème de conception. Après, si tu utilises une clé à molette pour enfoncer des vis, ne t'attend pas que ça soit top.

Avatar de manu-smx Abonné
Avatar de manu-smxmanu-smx- 29/04/20 à 15:31:50

fred131 a écrit :

Bizarre la fondation Mozilla a choisi RIOT im comme messagerie instantanée interne et elle ne l'inclue pas dans ses tests ?
 

En fait, RIOT n'est qu'une application pour utiliser Matrix, le remplaçant de IRC pour Mozilla.
Matrix ne propose que du chat textuel avec images ou vidéos.

Les appels audio/vidéo sont proposés via une instance Jitsi Meet et peuvent être intégrés au niveau de Riot (au de Matrix, je ne sais pas).

Dans la liste il est bien marqué qu'ils ont testé Jitsi Meet, donc tout va bien^^

Il n'est plus possible de commenter cette actualité.
Page 1 / 2