Entre promesses et mises à jour, Zoom fait le point sur sa sécurité

Entre promesses et mises à jour, Zoom fait le point sur sa sécurité

Premiers pas d'une longue marche

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

14/04/2020 5 minutes
37

Entre promesses et mises à jour, Zoom fait le point sur sa sécurité

Pris dans la tourmente pour la sécurité des données qui lui sont confiées, l’entreprise a publié plusieurs billets de blog ces derniers jours pour s’expliquer. Outre d'importantes mises à jour, des améliorations sont en approche.

Pour Zoom, il s’agissait avant tout d’éteindre l’incendie qui menaçait de l’engloutir. En cause, une accumulation assez invraisemblable de problèmes de sécurité ces dernières semaines.

Mauvaises pratiques sur l’installation des clients, création de serveurs web secrets, ignorance manifeste de règles élémentaires de sécurité, intégration d’un SDK Facebook sans en connaître tous les aléas, vulnérabilités diverses, options par défaut laissant trop de marge aux participants, collecte de données trop importante, ajout automatique de contacts basé sur le seul domaine de l’adresse email utilisée, routage de certains appels par la Chine…

Les problèmes étaient tellement flagrants – et les articles de presse si nombreux sur ces sujets – que l’éditeur a annoncé une pause de trois mois dans ses développements pour se concentrer sur la sécurité.

Ces derniers jours, il a copieusement communiqué, s’expliquant sur les décisions prises, les projets à venir et les modifications déjà faites.

Nouvelles applications : des choix par défaut nettement plus logiques

Premièrement, de nouvelles versions ont été déployées pour l’ensemble des plateformes supportées. Elles contiennent toutes un nouveau bouton Sécurité rassemblant les contrôles liés : verrouillage de la réunion, activation de la salle d’attente, expulsion de participants, restrictions diverses (partage d’écran, discussion texte, renommage des participants et annotations).

De plus, certains comportements par défaut ont changé. La salle d’attente est maintenant active dès le début, permettant de filtrer les participants. Même chose pour les mots de passe, actifs par défaut. Les participants issus du même domaine ne sont plus visibles, et l’option de remplissage automatique de la liste de contacts a disparu. Les participants ne peuvent plus se renommer eux-mêmes, à moins d’y être expressément autorisés.

Ces changements vont dans le bon sens, même si on espérait que le partage d’écran serait coupé par défaut. Cette fonction a permis ces dernières semaines des intrusions de type « zoombombing », autorisant certains plaisantins à débarquer dans les conférences pour partager des contenus choquants. En revanche, le partage de fichiers a été désactivé, une faille y ayant été découverte.

Ces aménagements sont disponibles pour l’ensemble des utilisateurs gratuits, pour les comptes K-12 Education ainsi que pour les licences Pro unitaires.

Le choix de la région pour les comptes Pro

Deuxièmement, Zoom déploiera à partir du 18 avril une nouvelle fonction pour les comptes Pro : le choix de la région par laquelle les données peuvent circuler. Ces régions sont : États-Unis, Canada, Europe, Inde, Australie, Chine, Amérique Latine et Japon/Hong Kong.

Les administrateurs pourront spécifiquement choisir des régions dans lesquelles les données ne doivent pas passer, ou au contraire en choisir des préférentielles. La région par défaut ne peut pas être modifiée. Elle est sélectionnée par géolocalisation, Zoom précisant que pour la majorité des utilisateurs, il s’agit des États-Unis. Concernant la Chine, les tunnels HTTPS ont été stoppés le 3 avril pour empêcher tout routage accidentel des données depuis les autres zones.

Changements à venir et conseillers en sécurité

Zoom communique abondamment, son PDG Eric Yuan ayant publié plusieurs billets de blogs. On peut par exemple y apprendre que l’éditeur va changer deux éléments importants pour le chiffrement des données : le passage d’AES-256 ECB à AES-256 GCM (beaucoup plus robuste) d’ici environ 45 jours ainsi qu’une génération par l’utilisateur de la clé, plutôt que par Zoom.

Zoom s’entoure également d’une sélection de personnes venant du milieu des communications et de la sécurité. Un conseil spécifique a été créé avec des intervenants en provenance de HSBC, NTT Data, Procore, Ellie Mae et autres entreprises des télécommunications. Au sein des conseil, ont lieu des discussions sur les thématiques de la vie privée, de la sécurité, des problèmes techniques ou encore des meilleures pratiques à adopter.

Un Advisory Board est également créé. Y participent une partie du précédent conseil ainsi que d’autres personnalités venues d’ailleurs. Alex Stamos, anciennement directeur de la sécurité chez Facebook, le rejoint notamment en tant que conseiller. D’autres experts dans ce domaine sont issus de VMware, Netflix, Uber et Electronic Arts notamment.

Enfin, Eric Yuan a répondu le 8 avril à une série de questions au sein de son premier webinaire « Ask Eric Anything ». La plupart des réponses ont trait aux mesures déjà nommées précédemment. Le prochain se tiendra demain.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Nouvelles applications : des choix par défaut nettement plus logiques

Le choix de la région pour les comptes Pro

Changements à venir et conseillers en sécurité

Commentaires (37)


Zoom, intéressante application que certaines entreprises américaines ont utilisé pour annoncer à leurs salariés qu’ils étaient licenciés, suite à l’épidémie de Covid19 au pays de l’Oncle Sam. Le licenciement collectif par visioconférence… Ah, le rêve américain. Une bonne publicité que Zoom se serait bien passé. Chez nous, peu d’articles ont en parlé mais aux Etats-Unis, ça a fait causé.



Pour le reste, effectivement, question sécurité, Zoom est un gruyère. Dernièrement, des comptes piratés se sont retrouvés sur le Dark Web. La Croix-Rouge interdit son utilisation ; la France et Taïwan déconseillent à ses fonctionnaires de l’utiliser ; Aux Etats-Unis, Google, Tesla, le Sénat et le département de l’éducation de New-York sont sur la même ligne. Aux Etats-Unis, les procureurs des Etats de New-York, de Floride et du Connecticut mènent une enquête sur les pratiques de l’entreprise en termes de protection de vie privée et de sécurité.



C’est intéressant de s’apercevoir que malgré tout, Zoom est toujours autant plébiscité alors qu’il existe des alternatives plus sécures, comme Microsoft Teams, notamment pour les professionnels, ou encore Slack ou Jitsi Meet. Parfois, il est nécessaire d’arrêter avec de faire des fixations avec une interface, une ergonomie et un style d’utilisation quand la sécurité fait défaut.


Enfin, dans l’interview au NYT, le CEO a dit :

> Mr. Yuan said Zoom never felt the need

> until now to rigorously examine the platform’s privacy and security implications for consumers. “If not > for this crisis,” he said, “I think we would have never thought about this.”



C’est incroyable !








Romaindu83 a écrit :



La Croix-Rouge interdit son utilisation





Pas en France en tout cas. C’est l’outil par défaut des confcall qui a été installé déjà depuis 1 an environ.



Licenciement via une appli de vidéoconférence…c’est horrible. <img data-src=" />








Romaindu83 a écrit :



C’est intéressant de s’apercevoir que malgré tout, Zoom est toujours autant plébiscité alors qu’il existe des alternatives plus sécures, comme Microsoft Teams, notamment pour les professionnels, ou encore Slack ou Jitsi Meet. Parfois, il est nécessaire d’arrêter avec de faire des fixations avec une interface, une ergonomie et un style d’utilisation quand la sécurité fait défaut.








Le problème, c’est qu’il y a toute une catégorie d’utilisateurs pour lesquels la facilité d’utilisation l’emporte sur tout le reste.

D’ailleurs en général, ces personnes n’ont pas conscience des enjeux de la sécurité informatique. <img data-src=" />





Parfois, il est nécessaire d’arrêter avec de faire des fixations avec une interface, une ergonomie et un style d’utilisation quand la sécurité fait défaut.





“Celui qui est prêt à sacrifier un peu d’ergonomie pour un peu de sécurité ne mérite…”



Non, plus sérieusement, il faut que les “devs/techniciens” arrêtent de considérer l’expérience utilisateur comme quantité négligeable: c’est un facteur d’adoption, bordel !


Si j’ai bien lu l’article, les modifications envisagées ne concernent que les comptes payants et les “K12 Education”.

Dans ce cas, les cessions gratuites sont toujours pleines de trous !!!


Les améliorations de Sécurité, dont la capacité de choisir la localisation de stockage de ses données, ni même l’adhésion au RGPD https://zoom.us/fr-fr/gdpr.html) ne permet à Zoom de s’affranchir du Cloud Act.



&nbsp;Cette loi, rappelons le, permet à l’administration américaine (enfin à ses services, heu disons spécialisés) de solliciter l’accès aux données d’une entreprise américaine, sans recourir à des décisions de justices US ou d’autres pays, et sans prévenir les clients finaux de ces données. Cette loi d’extraterritorialité s’applique bien évidemment aux données hors territoires des US, la localisation d’un DataCenter en Europe impose juste à la filiale UE de tenir un registre des traitements, qui devrait à priori intégrer que son contrôle d’accès permet aussi aux techniciens de sa maison mère basée aux US d’accéder aux données du datacenter hors US.

&nbsp;

Cette situation ci prévaut bien évidemment pour toutes les autres sociétés américaines d’offres de visoconférence : Microsoft/Teams, Cisco/Webex, LogMeIn/GotoMeeting, BlueJeans, LifeSize, 247Meeting, PGI/GlobalMeet Collaboration, HighFive, …





En vous rappelant le célèbre adage : “Quand c’est gratuit, c’est vous le produit”

&nbsp;

Il reste quoi alors hors-US ? Moins d’offres certes, mais il en existe tout de même : du gratuit comme WhereBy (mais limité à 5), Unify ou encore Tixeo pour du sécurisé (certification ANSSI).


Est-ce que Jami peut être considéré comme une alternative également ?

On parle souvent des autres mais jamais de ce dernier qui semble avoir une structure décentralisée !


Je suppose que les solutions autohébergé de Jisti ou Nextcloud Talk ou d’instance de CHATONS ne peuvent être sous le coup du Cloud Act.

Les CHATONS ou le petit serveur hébergé chez un particulier ne sont soumis à la loi américaine.








FabianRODES a écrit :



En vous rappelant le célèbre adage : “Quand c’est gratuit, c’est vous le produit” &nbsp;





Je ne crois pas que cet adage soit adapté : la version gratuite a des limites qui font que les utilisateurs sont motivés à prendre du payant. c’est gratuit parce que c’est un produit d’appel et/ou parce que ça ne gêne pas ceux qui, de toutes manières, ne paieraient pas.

Je suis plus choqué de voir une grosse SSII (5000 personnes) utiliser des comptes webex individuels gratuits et ne pas avoir de compte entreprise (ou un outil libre comme jitsi installé en interne). Mais je ne citerai pas de nom ici, mais j’en ai un !









127.0.0.1 a écrit :



Non, plus sérieusement, il faut que les “devs/techniciens” arrêtent de considérer l’expérience utilisateur comme quantité négligeable: c’est un facteur d’adoption, bordel !&nbsp;





Mais tellement !

Gros +1









dylem29 a écrit :



Licenciement via une appli de vidéoconférence…c’est horrible. <img data-src=" />







C’est ce qu’à fait Bird,&nbsp; une conf avec comme titre “mise à jour : coronavirus”&nbsp; &nbsp;conférence unidirectionnelle, avec le personne qui dit



“la direction a dut faire des choix compliqués, dont éliminer certaines rôles dans l’entreprise. Hélas vous en faites parties”&nbsp;

Et il ont reçu un émail pour l’expédition du colis avec leur matériel de télétravail

&nbsp;

&gt; 406 personnes dehors.&nbsp;&nbsp;



Sur Webex et Hangout ça explique aussi pourquoi maintenant j’ai mon micro et caméra de désactivé par défaut avant d’entré dans le salon depuis ce matin.&nbsp;

Le point positif c’est que ça permet d’avoir des bons comportements qui se répandent et des gens pas particulièrement au courant des enjeux qui s’en rendent compte


Je ne connais pas Jami, je regarde dès que j’ai un peu de temps


Oui, après avoir lu le commentaire du camarade NXI, j’ai lu des articles…



C’est honteux.


&nbsp; C’est un super présentateur télé pourtant…



( Pardon <img data-src=" /> )


Perso, j’ai essayé de pousser mon entourage (collègues et amis) dessus, mais ça n’a pas fonctionné.

Ils préfèrent tous les zoom/skype/teams/hangouts <img data-src=" />


Au dela de la simplicité d’utilisation, le gros avantage d’après mon experience de Zoom c’est la qualité des échanges, et je retrouve cela peu dans les articles (en général, pas juste pci) et les commentaires.

&nbsp;

Je fais en moyenne 20heures par semaine de conf call en ce moment et on a testé Zoom/Teams/Skype-pro/Slack en groupes allant de 2 à 50. Y a pas photo, Zoom est très loin devant. Teams n’est pas à la hauteur avec une qualité audio/video tres variable et ne permet de voir que peu d’utilisateurs en même temps. Skype parfois ne trouve pas des contacts. C’est pour le moment la seule solution stable que j’ai, donc non, il n’existe pas beaucoup d’alternative plus sécures.&nbsp;



De plus, les outils de partage d’écran, d’annotation, de breakrooms, de modération etc.. sont vraiment top pour l’utilisation que j’en ai.



Cela dit, je suis content de voir toutes ces avancées sur la sécurité et privacy.

D’ailleurs est-ce que les autres outils sont E2E encrypted? Quels sont les différences en termes de security/privacy restantes?

&nbsp;








Soriatane a écrit :



Je suppose que les solutions autohébergé de Jisti ou Nextcloud Talk ou d’instance de CHATONS ne peuvent être sous le coup du Cloud Act.

Les CHATONS ou le petit serveur hébergé chez un particulier ne sont soumis à la loi américaine.





Le cloud Act s’applique dès lors que l’entreprise offrant la solution/service est soumise à la loi US ou bien s’effectue par des ressortissants américains et/ou depuis le territoires américains.

&nbsp;

Une installation d’un serveur Jitsi sur une VPS voir même sur le Nextcloud hébergé sur son NAS Syno (ça devrait être possible maintenant) n’est donc pas concerné, du moment que ce n’est pas sur le territoire américain.



Reste la question de l’hébergeur Cloud de la solution. Je ne suis pas assez calé en droit pour savoir si les services US pourraient - sur la base seul du Cloud Act - accéder aux données d’une VM/VPS.



Quand la solution logicielle est sous licence libre, cela me semble tendu de dire que le logiciel est soumis au Cloud Act.

Mais qu’en est-il d’un logiciel libre vendu pour une prestation par une boite US ??





J’avoue que n’étant pas juriste, je ne sais jusqu’où porte le Cloud Act.


Zoom est l’appli choisie par ma boite (Canada). Autant j’ai un peu de mal avec leur comportement/problèmes de sécurité, autant une appli qui fonctionne sans problème sous Linux et qui permet des vidéo conf a ~200 j’en ai pas vu bcp…


Rassures-toi, les devs/techniciens y pensent. Mais ce ne sont généralement pas eux qui sont aux manettes.


C’est pas pire que

‘pas la peine de revenir lundi…’


Les 2 sont dégueu. ;)


Oui. C’est très triste


Il n’y a pas longtemps on apprenait que le chiffrement de bout en bout, n’était en fait que du chiffrement entre les clients et les serveurs. Maintenant on apprend que ce chiffrement est en fait de l’AES ECB. C’est le mode le plus basique de AES avec plein de faiblesses, surtout quand utilisé dans le cadre d’un protocole réseau…


&gt; Reste la question de l’hébergeur Cloud de la solution. Je ne suis pas

assez calé en droit pour savoir si les services US pourraient - sur la

base seul du Cloud Act - accéder aux données d’une VM/VPS.





À partir du moment ou c’est une boite USA, t’es couillonné. Pas un juriste ne prends de risque. Donc on évite les nuages américain et on en prends un en Europe. Par chance, il y en a.


&gt; C’est le mode le plus basique de AES avec plein de faiblesses, surtout quand utilisé dans le cadre d’un protocole réseau…





On peut d’ailleurs se poser la question que puisqu’un chiffrement faible, alors moins de ressource consommée. Certains m’ont dit que Zoom chargeait moins leur machine que d’autres solutions, cela pourrait être une piste ?


Je suppose que tu sous entend que Zoom est chiffré E2E.

Ils se sont justement fait épinglés là dessus. Je suppose que le commentaire de Aurel32 (ci-dessous) était pour toi à ce sujet :

&gt; Il n’y a pas longtemps on apprenait que le chiffrement de bout en bout, n’était en fait que du chiffrement entre les clients et les serveurs. Maintenant on apprend que ce chiffrement est en fait de l’AES ECB. C’est le mode le plus basique de AES avec plein de faiblesses, surtout quand utilisé dans le cadre d’un protocole réseau…



c.f. le dossier de NXi sur les failles de sécu de Zoom.


C’est là que Zoom est fort.



On l’utilise pour des apéros virtuels jusqu’à 10 personnes, on a essayé :



Teams

jugé trop lourd par certains et pas pratique, pourtant la qualité est plutôt bonne



WhatsApp

un mot : dégueulasse



HouseParty

Pas confiance du tout et pue encore plus que Zoom niveau sécu



Zoom

Super simple, excellente qualité même sur du très bas débit (&lt;8 Mbs) mais les dernières actus me pousse à l’abandonner



Skype

Des problèmes de qualité et de connectivité à tout va



Pas encore testé Jisti Meet par contre

On va retenter Teams sous peu d’ailleurs.


Non, justement.

Je me demandais après tout le buzz autour du manque de E2E sur Zoom, qu’en etait-il des autres comme Teams.



Je comprends que c’est un problème d’avoir Zoom dire qu’ils font du E2E alors que ce n’est pas le cas. Cependant, dans le grand publique cela s’est très rapidement transformé en “Zoom n’est pas crypté”, ce qui est faux. Il est pas complétement crypté, et visiblement pas de manière forte, mais il est crypté sur les communications et c’est “seulement” sur les servers Zoom que les infos sont en clair, entre autre pour faire des traitements coté server, comme l’explique le dossier NXi que j’ai déjà lu.



&nbsp;D’où ma question: est-ce que ce manque d’encryption coté server est propre à Zoom?


Je trouve ça étonnant le fait que cette loi s’applique aussi à la filiale européenne d’une entreprise américaine. La RGPD en Europe n’imposerait-elle donc pas que dans toutes les conditions générales, il soit précisé que l’entreprise est soumise au Cloud Act américain et que les données peuvent donc être communiqués à l’administration américaine ?



Il me semblait aussi avoir vu qu’un des grands fournisseurs de services (de mémoire Microsoft, mais pas sûr) communiquait sur le fait que ces services à destination des entreprises sur le sol européen étaient hébergées sur le sol européen et donc non soumis à la législation américaine.



Dans mon environnement professionnel, j’ai l’impression que de plus en plus d’entreprises passent sur Office365, en utilisant Skype for Entreprise, Teams et du stockage Onedrive, y compris pour des projets avec un niveau de confidentialité assez élevé. Je suis preneur si tu as des sources qui détaillent un peu ce que tu expliques.








Manozco a écrit :



autant une appli qui fonctionne sans problème sous Linux et qui permet des vidéo conf a ~200 j’en ai pas vu bcp…







Ça consiste en quoi, une conf avec 200 participants ? <img data-src=" />



Quand je vois le nombre de personnes qui font des conférences vidéo à plus d’une dizaine de personnes, je me demande toujours si c’est la meilleure façon de travailler et s’ils utilisent les bons outils.



C’est pas 200 participants qui parlent en même temps. C’est principalement le patron qui parle puis le gars d’IT qui unmute les gens au fur et a mesure qu’ils ont des questions a poser




Aneoshun a écrit :

&nbsp;D’où ma question: est-ce que ce manque d’encryption coté server est propre à Zoom?



Aucun des acteurs du marché ne chiffrent en E2E.








Tok-Ra a écrit :



Aucun des acteurs du marché ne chiffrent en E2E.







Jitsi y travaille.