Sécurité

Zoom commence à s’intéresser aux questions de sécurité et de protection de la vie privée

Zoom, l’une des applications d’appel vidéo les plus populaires, présente tellement de problèmes de sécurité et de confidentialité qu’Eric S. Yuan, PDG du service, s’est excusé et a promis des solutions. La bonne nouvelle, c’est que les promesses sont déjà en train de se réaliser. La mauvaise nouvelle est que, malgré cela, ce n’est pas encore le moment de considérer l’outil comme totalement fiable.

L’un des nombreux problèmes de Zoom a commencé à être résolu au début de la semaine. C’est du moins ce que dit l’entreprise. Il s’agit d’un bogue qui affecte l’application de service pour Windows.

Chaque fois qu’un lien de site web est partagé dans un chat Zoom, il devient cliquable pour une ouverture facile. Le problème est que l’outil transforme également les chemins du réseau en liens cliquables.

Pour exécuter le fichier à partir de ce lien, Windows essaie de se connecter au serveur distant en utilisant le protocole de partage de fichiers SMB. Dans cette procédure, le nom d’utilisateur et le hachage de son mot de passe sont transmis pour validation.

  DJI lance Mavic 2 Pro et Zoom avec un nouvel objectif et un nouveau boîtier plus aérodynamique

Voici la partie inquiétante : le hachisch peut être brisé par des outils spécifiques. En outre, le lien cliquable peut permettre d’exécuter des fichiers malveillants sans que l’utilisateur ne s’en aperçoive. Les développeurs de Zoom affirment qu’ils travaillent déjà à la résolution de cette vulnérabilité.

Dans macOS, l’application Zoom a même été comparée à un logiciel malveillant. La raison ? Le fichier d’installation était accompagné de scripts qui automatisaient ce processus, de sorte que l’utilisateur n’avait pas besoin de confirmer la procédure.

Cette approche n’est pas vraiment un problème sérieux, mais elle est plutôt discutable. La réponse à la controverse a été rapide : le client Zoom pour macOS a été récemment mis à jour pour être installé comme n’importe quel autre logiciel.

Autre approche discutable : lorsqu’un utilisateur entre dans un appel vidéo, Zoom peut combiner son nom de connexion et son e-mail avec les données de la même personne sur LinkedIn. De cette façon, les participants à la vidéoconférence pouvaient obtenir le nom réel, le titre du poste, le lieu et d’autres informations sur cet utilisateur sans leur autorisation.

  Fedora 13 et Slackware 13.1 disponibles en téléchargement

Interrogé, Zoom Video Communications indique que cette “fonctionnalité” a été supprimée jeudi dernier (2).

En plus de ces mesures, plusieurs problèmes liés à Zoom ont été corrigés ou atténués ces dernières semaines, avant même les excuses d’Eric S. Yuan.

Mais il y a encore du travail à faire. Pour donner un exemple, The Verge indique un outil de test développé par des experts en sécurité qui peut trouver une centaine d’identifiants de réunion dans Zoom en une heure seulement. Des données telles que le lien, la date, l’heure et l’organisateur de transmission peuvent être obtenues avec une relative facilité avec des outils de ce type.

L’utilisation de mots de passe est le meilleur moyen d’éviter que les réunions ne soient piratées ou surveillées avec cette méthode de suivi, mais beaucoup d’entre elles sont encore effectuées sans ce type de protection, une situation qui signale la nécessité de mesures plus efficaces de la part de Zoom pour lutter contre le problème.

  Chrome 79 vous avertit si votre mot de passe fait l'objet d'une fuite de données personnelles

A propos de l'auteur

Véronique

La trentaine, maman de deux petits monstres de 10 ans. Je pèse chaque jour le pour et le contre dans l'utilisation des écrans pour mes bambins !
J'écris souvent depuis les transports en commun (#teamTablette).

Laisser un commentaire