L’application de vidéoconférence Zoom est devenue un moyen très populaire de rester en contact pour un monde de plus en plus isolé pendant la pandémie de coronavirus, tant pour des réunions personnelles que professionnelles. En même temps Zoom a été confronté à de nombreux problèmes de sécurité et de confidentialité ces dernières semaines, en raison de l’augmentation massive et imprévue de son utilisation, alors que le nombre de réunions en ligne augmente.
L’application Zoom, destinée aux professionnels, comptait en décembre 2019 une dizaine de millions d’utilisateurs quotidiens. Mais suite à la pandémie du coronavirus, le service auparavant méconnu du grand public a connu une croissance fulgurante de ses utilisateurs multipliant par 20 le nombre pour atteindre 200 millions de personnes utilisant Zoom quotidiennement, d’après le PDG de Zoom, Eric S. Yuan. « En mars de cette année, nous avons atteint plus de 200 millions de participants aux réunions quotidiennes, qu’elles soient gratuites ou payantes », déclare Yuan.
« Notre plateforme a été conçue principalement pour les entreprises », explique Yuan. « Nous n’avons pas conçu le produit en pensant que, dans quelques semaines, chaque personne dans le monde travaillerait, étudierait et socialiserait soudainement à partir de chez elle. Nous avons maintenant un ensemble beaucoup plus large d’utilisateurs qui utilisent notre produit d’une myriade de façons inattendues, nous présentant des défis que nous n’avions pas prévus lors de la conception de la plateforme », pouvait-on lire dans un billet de blog.
Une occasion de mettre le pied sur de nombreux problèmes
Fin mars, Patrick Wardle, un ex-hacker de la NSA, a découvert une vulnérabilité qui permet aux pirates de prendre le contrôle de votre Mac, notamment la webcam, le microphone, et même l’accès root complet. Ce type de problème avait déjà été observé au sein de Zoom l’été dernier, mais Zoom avait annoncé avoir déployé un correctif pour résoudre le problème. Wardle a découvert qu’un attaquant local avec des privilèges d’utilisateur de bas niveau peut injecter du code malveillant dans l’installateur de Zoom pour obtenir le plus haut niveau de privilèges d’utilisateur, l’accès root.
Début avril, des chercheurs ont donné des détails sur deux nouveaux bogues de sécurité découverts dans l’application Zoom. Le client Windows de Zoom perdait ses informations d’identification réseau, car l’application rendait les chemins d’accès aux fichiers UNC cliquables dans les fenêtres de discussion de groupe. Un rapport de The Intercept a également critiqué les pratiques de confidentialité de l’application de vidéoconférence pour avoir prétendument trompé les utilisateurs sur le chiffrement de bout en bout de la plateforme. Mais Zoom a fini par admettre que l’E2E n’est actuellement pas possible pour les réunions vidéo de Zoom et utilise plutôt le chiffrement TLS (Transport Layer Security).
En effet, un porte-parole de Zoom a écrit: « Actuellement, il n’est pas possible d’activer le chiffrement E2E pour les réunions vidéo Zoom. Les réunions vidéo Zoom utilisent une combinaison de TCP et UDP. Les connexions TCP sont établies à l’aide de TLS et les connexions UDP sont chiffrées avec AES à l’aide d’une clé négociée sur une connexion TLS ».
Le chiffrement utilisé par Zoom pour protéger les réunions est TLS, la même technologie que les serveurs Web utilisent pour sécuriser les sites Web HTTPS. Cela signifie que la connexion entre l’application Zoom exécutée sur l’ordinateur ou le téléphone d’un utilisateur et le serveur Zoom est chiffrée de la même manière que la connexion entre votre navigateur Web est chiffré. Il s’agit du chiffrement de transport, qui est différent du chiffrement de bout en bout, car le service Zoom lui-même peut accéder au contenu vidéo et audio non chiffré des réunions Zoom. Ainsi, lorsque vous avez une réunion Zoom, le contenu vidéo et audio restera privé pour toute personne espionnant votre Wi-Fi, mais il ne restera pas privé pour la société.
Pour qu’une réunion Zoom soit chiffrée de bout en bout, le contenu vidéo et audio devrait être chiffré de telle sorte que seuls les participants à la réunion aient la possibilité de la déchiffrer. Le service Zoom lui-même pourrait avoir accès au contenu de la réunion chiffré, mais n’aurait pas les clés de déchiffrement nécessaires pour le déchiffrer (seuls les participants à la réunion auraient ces clés) et, par conséquent, n’aurait pas la capacité technique d’écouter les réunions privées.
« Lorsque nous utilisons l’expression ‘de bout en bout’ dans nos autres publications, cela fait référence à la connexion chiffrée du point de terminaison Zoom au point de terminaison Zoom », a avancé un porte-parole de Zoom, faisant apparemment référence aux serveurs Zoom comme des « points de terminaison » même s’ils se trouvent entre les clients Zoom. « Le contenu n’est pas déchiffré tandis qu’il est transféré à travers le cloud Zoom » via la mise en réseau entre ces machines.
Un autre problème auquel Zoom est confronté est la façon dont les nouveaux utilisateurs partagent les liens de réunions et de classes en ligne. Cette semaine, la division du FBI à Boston a mis en garde les écoles contre deux cas de “zoom-bombes” par des inconnus dans des salles de classe en ligne de deux lycées différents du Massachusetts. Selon le rapport du FBI Boston, dans un premier cas, un inconnu a crié des injures et a cité l’adresse du domicile de l’enseignant. Dans l’autre, le pirate informatique était visible par les élèves.
Le FBI a mis en garde les écoles contre le fait de rendre publiques des réunions ou des salles de classe et les a incitées à exiger un mot de passe pour les réunions. De plus, il leur a déconseillé de partager des liens vers des salles de classe sur des sites de médias sociaux accessibles au public.
Ces problèmes ont poussé certaines organisations à ne plus utiliser Zoom. SpaceX, qui a reconnu qu’un grand nombre de ses 6 000 employés avaient utilisé Zoom pour des réunions, a maintenant demandé à tous ses employés d’utiliser plutôt le courrier électronique, les SMS ou le téléphone en raison de « graves problèmes de confidentialité et de sécurité », selon un mémo vu par Reuters. L’agence spatiale américaine NASA a également interdit à ses employés d’utiliser Zoom.
Les mesures prises par Zoom
Zoom a déjà pris des mesures pour répondre aux critiques qui lui ont été adressées. Eric Yuan, a souligné dans un billet de blog plus tôt ce mois-ci que l’entreprise avait publié une correction du problème des liens UNC dans le client Windows. Yuan dit également avoir publié des correctifs pour les problèmes MacOS signalés par Wardle. En outre, la société a supprimé la fonction de suivi de l’attention des participants et a supprimé le navigateur de vente de LinkedIn dans Zoom, qui, selon elle, divulguait inutilement des données.
L’entreprise a aussi mis à jour sa politique de confidentialité, retiré le SDK Facebook de son application iOS et tenté de résoudre le problème du “zoombombing“. Yuan s’est excusé pour la confusion autour de son E2E, et nié avoir construit un mécanisme pour déchiffrer les réunions en direct à des fins d’interception légale.
Selon le PDG de Zoom, toutes les ressources d’ingénierie de l’entreprise seront désormais consacrées aux questions de sécurité et de confidentialité, et la société prévoit un « examen complet » avec des tiers pour s’assurer qu’elle traite correctement la sécurité de ces nouveaux cas de consommateurs. Zoom s’engage également à publier un rapport de transparence afin de faire connaître le nombre de demandes de données d’utilisateurs émanant des forces de l’ordre et des gouvernements.
L’entreprise va « améliorer » également son programme de prime aux bogues, en consultant d’autres responsables de la sécurité de l’information dans l’industrie et en utilisant des tests d’intrusion pour identifier d’autres bogues de sécurité. À partir de la semaine prochaine, Yuan organisera un webinaire hebdomadaire, le mercredi, pour fournir des mises à jour sur la sécurité et la protection de la vie privée à la communauté Zoom.
Mise à jour du logiciel
C’est dans ce contexte que dans une mise à jour du logiciel, Zoom a pris des mesures pour améliorer la sécurité des mots de passe et a proposé des ID aléatoires pour les réunions. La société a également amélioré la protection par mot de passe pour les enregistrements de réunions stockés dans le cloud et ajouté d’autres fonctionnalités de sécurité clés.
Après avoir effectué un audit de sécurité du partage de fichiers tiers via OneDrive et Dropbox, Zoom a maintenant réactivé la fonctionnalité qui avaient été temporairement supprimée. Conscient de l’examen minutieux auquel il est soumis pour de nombreux manquements en matière de sécurité et de confidentialité, Zoom a utilisé un billet de blog pour mettre en évidence les changements qu’il propose pour améliorer la protection du service.
L’éditeur a mis en avant les éléments suivants :
- Exigences de mot de passe: pour les réunions et les webinaires, les propriétaires de compte et les administrateurs peuvent désormais configurer les exigences minimales de mot de passe de réunion pour ajuster la longueur minimale et exiger des lettres, des chiffres et des caractères spéciaux, ou autoriser uniquement les mots de passe numériques. Tous les comptes de base gratuits auront l’option alphanumérique activée par défaut.
- ID de réunion aléatoires: les ID de réunion générés aléatoirement pour les réunions et les webinaires nouvellement programmés seront composés de 11 chiffres au lieu de neuf. Votre identifiant de réunion personnel (PMI) restera le même.
- Enregistrements cloud: la protection par mot de passe pour les enregistrements cloud partagés est désormais activée par défaut pour tous les comptes. Nous avons également amélioré la complexité des mots de passe sur vos enregistrements cloud. Les enregistrements partagés existants ne sont pas affectés.
- Partage de fichiers tiers: vous pouvez à nouveau utiliser des plateformes tierces, telles que Box, Dropbox et OneDrive, pour faire des partages sur la plateforme Zoom. Nous avons temporairement désactivé cette fonctionnalité et l’avons restaurée après un examen de sécurité complet du processus.
- Aperçu du message Zoom Chat: les utilisateurs Zoom Chat peuvent masquer l’aperçu du message pour les notifications de chat sur le bureau. Si cette option est désactivée, vous serez simplement averti que vous avez un nouveau message sans afficher de contenu de message.
Source : developpez
