Faut-il vraiment utiliser Zoom ?
La popularité de ce logiciel de communication est montée en flèche avec la pandémie de coronavirus Covid-19.
L’attention portée aux enjeux de sécurité et de vie privée a crû en parallèle.
En la matière, il y a des choses à redire. Notamment au sujet du chiffrement de bout en bout. Celui-ci n’est effectif ni pour l’audio, ni pour la vidéo, contrairement à ce que laisse entendre la présentation du produit. Les données en question ne sont en l’occurrence protégées que lors de leur transport.
Zoom se réserve en outre le droit de collecter et de partager du « contenu utilisateur » – terme qui englobe de nombreuses données. Face aux inquiétudes, l’éditeur a récemment apporté une clarification à propos de ses pratiques. Il a, entre autres, exclu toute exploitation d’informations à des fins publicitaires.
Toujours au chapitre vie privée, des utilisateurs (qui se compteraient au moins par milliers) ont vu une foule d’inconnus apparaître dans leur liste de contacts.
Le problème semble lié à une fonctionnalité qui met automatiquement en relation les comptes associés à des adresses e-mail dépendant d’un même domaine, et donc censés travailler pour une même organisation. Les principaux fournisseurs de messagerie (Gmail, Hotmail, Yahoo…) sont naturellement exclus du dispositif. Mais les plus petits fournisseurs ne le sont pas…
https://twitter.com/JJVLebon/status/1242175850306580486?ref_src=twsrc%5Etfw » rel= »nofollow
Autre élément à avoir attiré l’attention : l’application Zoom pour iOS. Le SDK Facebook intégré avait tendance à envoyer un grand nombre de données au réseau social, que l’utilisateur en soit ou non membre.
L’éditeur a corrigé le tir la semaine passée.
Il n’a, en revanche, pas encore éliminé la faille découverte dans son client Windows.
Celui-ci traduit en liens cliquables les URL de type UNC (Universal Naming Convention), qui pointent vers des ressources réseau.
Lorsque l’utilisateur clique sur ce type de lien, le protocole d’authentification NTLM (NT Lan Manager) s’enclenche. Par défaut, il transmet l’identifiant Windows… et le hash du mot de passe, qui peut être craqué en quelques secondes avec des outils accessibles gratuitement.
https://twitter.com/_g0dmode/status/1242131019026874369?ref_src=twsrc%5Etfw » rel= »nofollow
https://twitter.com/hackerfantastic/status/1245133371262619654?ref_src=twsrc%5Etfw » rel= »nofollow
Ces mêmes liens permettent aussi de lancer des programmes en local. Y compris sans que l’utilisateur soit averti.
https://twitter.com/taviso/status/1245520529739534338?ref_src=twsrc%5Etfw » rel= »nofollow
La version Mac de Zoom n’est pas épargnée. Elle abrite des vulnérabilités qui ouvrent la voie à :
https://twitter.com/c1truz_/status/1244737672930824193?ref_src=twsrc%5Etfw » rel= »nofollow
On portera également attention au phénomène dit du « zoombombing ». C’est-à-dire les accès indésirables à des réunions. La pratique s’est développée avec le contexte actuel. Pour se l’épargner, il est recommandé, d’une part, de protéger chaque réunion par un mot de passe. Et de l’autre, d’utiliser les salles d’attente, où les utilisateurs patientent avant qu’un administrateur les autorise à rejoindre la discussion.
Photo d’illustration © Zoom
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…
Les grands de l'IT suppriment des milliers de jobs au nom du déploiement de. Une…
Quatre ans après l’appel de Rome - un pacte présenté en 2020 par le Vatican…