Zoom annonce un gel des fonctionnalités pendant 90 jours pour résoudre les problèmes de confidentialité et de sécurité,

https://securite.developpez.com/actu/299011/Zoom-annonce-un-gel-des-fonctionnalites-pendant-90-jours-pour-resoudre-les-problemes-de-confidentialite-et-de-securite-alors-que-l-application-a-atteint-200-millions-d-utilisateurs-quotidiens/

Le 2 avril 2020 à 18:45

L’application de vidéoconférence Zoom est devenue un moyen très populaire de rester en contact pour un monde de plus en plus isolé pendant la pandémie de coronavirus, tant pour des réunions personnelles que professionnelles. En même temps Zoom a été confronté à de nombreux problèmes de sécurité et de confidentialité ces dernières semaines, en raison de l’augmentation massive et imprévue de son utilisation, alors que le nombre de réunions en ligne augmente. Pour redonner confiance à ses utilisateurs, l’entreprise a publié un article de blog dans lequel elle s’est excusée pour les « problèmes imprévus » et a promis d’améliorer la situation.

L’application Zoom, destinée aux professionnels, comptait en décembre 2019 une dizaine de millions d’utilisateurs quotidiens. Mais en faveur de la pandémie du coronavirus, le service auparavant méconnu du grand public a connu une croissance fulgurante de ses utilisateurs multipliant par 20 le nombre pour atteindre 200 millions de personnes utilisant Zoom quotidiennement, d’après le PDG de Zoom, Eric S. Yuan. « En mars de cette année, nous avons atteint plus de 200 millions de participants aux réunions quotidiennes, qu’elles soient gratuites ou payantes », déclare Yuan.

« Notre plateforme a été conçue principalement pour les entreprises », explique Yuan. « Nous n’avons pas conçu le produit en pensant que, dans quelques semaines, chaque personne dans le monde travaillerait, étudierait et socialiserait soudainement à partir de chez elle. Nous avons maintenant un ensemble beaucoup plus large d’utilisateurs qui utilisent notre produit d’une myriade de façons inattendues, nous présentant des défis que nous n’avions pas prévus lors de la conception de la plateforme », lit-on dans l’article.

Ce faisant, l’entreprise fait désormais face à deux défis : le défi que représente la prise en charge de 200 millions d’utilisateurs journaliers, contre seulement 10 millions il y a quelques mois, mais aussi les problèmes de confidentialité et de sécurité qui ont été découverts récemment. Pour face à ces défis, Zoom gèle désormais ses mises à jour de fonctionnalités et se concentre plutôt sur ces problèmes.

« Au cours des 90 prochains jours, nous nous engageons à consacrer les ressources nécessaires pour mieux identifier, traiter et résoudre les problèmes de manière proactive », explique Yuan. « Nous nous sommes également engagés à faire preuve de transparence tout au long de ce processus ». Le PDG et fondateur de Zoom explique également comment l’entreprise a réagi à une augmentation massive du nombre d’utilisateurs et a promis de les résoudre.

Des problèmes révélés dans Zoom ces dernières semaines

Cette semaine, Patrick Wardle, un ex-hacker de la NSA, a découvert une nouvelle vulnérabilité qui permet aux pirates de prendre le contrôle de votre Mac, notamment la webcam, le microphone, et même l’accès root complet. Ce type de problème avait déjà été observé au sein de Zoom l’été dernier, mais Zoom avait annoncé avoir déployé un correctif pour résoudre le problème. Wardle a découvert qu’un attaquant local avec des privilèges d’utilisateur de bas niveau peut injecter du code malveillant dans l’installateur de Zoom pour obtenir le plus haut niveau de privilèges d’utilisateur, l’accès root.

Pas plus tard qu’hier, les chercheurs ont détaillé deux nouveaux bogues de sécurité découverts dans l’application Zoom. Le client Windows de Zoom perdait ses informations d’identification réseau, car l’application rendait les chemins d’accès aux fichiers UNC cliquables dans les fenêtres de discussion de groupe. Un rapport de The Intercept a également critiqué les pratiques de confidentialité de l’application de vidéoconférence pour avoir prétendument trompé les utilisateurs sur le chiffrement de bout en bout de la plateforme. Mais Zoom a fini par admettre que l’E2E n’est actuellement pas possible pour les réunions vidéo de Zoom et utilise plutôt le chiffrement TLS (Transport Layer Security).

Un autre problème auquel Zoom est confronté est la façon dont les nouveaux utilisateurs partagent les liens de réunions et de classes en ligne. Cette semaine, la division du FBI à Boston a mis en garde les écoles contre deux cas de “zoom-bombes” par des inconnus dans des salles de classe en ligne de deux lycées différents du Massachusetts. Selon le rapport du FBI Boston, dans un premier cas, un inconnu a crié des injures et a cité l’adresse du domicile de l’enseignant. Dans l’autre, le pirate informatique était visible par les élèves.

Le FBI a mis en garde les écoles contre le fait de rendre publiques des réunions ou des salles de classe et les a incitées à exiger un mot de passe pour les réunions. De plus, il leur a déconseillé de partager des liens vers des salles de classe sur des sites de médias sociaux accessibles au public.

Ces problèmes ont poussé certaines organisations à ne plus utiliser Zoom. SpaceX, qui a reconnu qu’un grand nombre de ses 6 000 employés avaient utilisé Zoom pour des réunions, a maintenant demandé à tous ses employés d’utiliser plutôt le courrier électronique, les SMS ou le téléphone en raison de « graves problèmes de confidentialité et de sécurité », selon un mémo vu par Reuters . L’agence spatiale américaine NASA a également interdit à ses employés d’utiliser Zoom.

Zoom a publié des correctifs de certains problèmes de sécurité signalés

Zoom a déjà pris des mesures pour répondre aux critiques qui lui ont été adressées. Eric Yuan, a souligné dans son article que l’entreprise avait publié une correction du problème des liens UNC dans le client Windows. Yuan dit également avoir publié des correctifs pour les problèmes MacOS signalés par Wardle. En outre, la société a supprimé la fonction de suivi de l’attention des participants et a supprimé le navigateur de vente de LinkedIn dans Zoom, qui, selon elle, divulguait inutilement des données.

L’entreprise a aussi mis à jour sa politique de confidentialité, retiré le SDK Facebook de son application iOS et tenté de résoudre le problème du “zoombombing”. Yuan s’est excusé pour la confusion autour de son E2E, et nié avoir construit un mécanisme pour déchiffrer les réunions en direct à des fins d’interception légale.

Gel immédiat des mises à jour fonctionnalité et concentration sur les questions de sécurité et de confidentialité de Zoom

Selon le PDG de Zoom, toutes les ressources d’ingénierie de l’entreprise seront désormais consacrées aux questions de sécurité et de confidentialité, et la société prévoit un « examen complet » avec des tiers pour s’assurer qu’elle traite correctement la sécurité de ces nouveaux cas de consommateurs. Zoom s’engage également à publier un rapport de transparence afin de faire connaître le nombre de demandes de données d’utilisateurs émanant des forces de l’ordre et des gouvernements.

L’entreprise va « améliorer » également son programme de prime aux bogues, en consultant d’autres responsables de la sécurité de l’information dans l’industrie et en utilisant des tests d’intrusion pour identifier d’autres bogues de sécurité. À partir de la semaine prochaine, Yuan organisera un webinaire hebdomadaire, le mercredi, pour fournir des mises à jour sur la sécurité et la protection de la vie privée à la communauté Zoom.

Un chercheur en sécurité a apprécié la réponse de Zoom aux préoccupations de sécurité et confidentialité soulevées par les chercheurs et les utilisateurs :

D’autres meilleures alternatives à Zoom pour la vidéoconférence

Si des nouvelles récentes vous ont rendu hésitant à utiliser Zoom, ou si vous êtes dans l’attente que Zoom apporte des correctifs de sécurité et de confidentialité avant de l’utiliser à nouveau pour vos réunions ou vos classes en ligne, d’autres applications de vidéoconférence sont disponibles. Ces applications, ci-dessous, ont des versions gratuites et certaines offrent un accès temporaire à des fonctionnalités supplémentaires pour ceux qui travaillent actuellement à domicile ou qui souhaitent consulter leurs amis et leur famille en ligne.

La liste comprend des applications plus générales qui vous permettent de participer sans avoir à vous inscrire à l’application (à moins que vous ne soyez l’hôte), et exclut des applications comme Facebook, WhatsApp et FaceTime, qui vous permettent également de faire des chats vidéo, mais elles exigent soit que tous les participants soient membres (Facebook, WhatsApp), soit que vous utilisiez un type de dispositif spécifique (FaceTime, qui est réservé à Apple).

Il y a Skype avec sa fonction de vidéoconférence “Meet Now”, Cisco Webex, Starleaf, Jitsi Meet, Slack et Microsoft Teams. Toutefois on est tenté de se demander comment Zoom est devenu le choix populaire depuis le début de l’année alors qu’il existe ces nombreuses alternatives. Plusieurs commentateurs répondent à cette question par « la facilité d’utilisation » de Zoom. « Oui, c’est essentiellement la facilité d’utilisation et aussi une faible barrière d’entrée. Tout le monde peut ouvrir un compte et le plan gratuit permet d’accueillir jusqu’à 100 participants », a écrit l’un d’entre eux. Et vous, à cause de la facilité d’utilisation, continuerez-vous à faire vos réunions sur Zoom malgré les préoccupations de confidentialité et sécurité ?