X

News Partenaire

Intrexx : la plateforme de développement low code de référence

Créé en 1998 par l’entreprise allemande United Planet, Intrexx est devenu au fil des ans une plateforme complète permettant la création rapide de portails Intranet; Extranet et portails web, d’applications variées pour la gestion des ressources humaines, du travail collaboratif, de solutions industrie 4.0. Toutes ces applications se construisent rapidement et simplement grâce à la technique du « low code » et s’intègrent au Système d’Information de l’entreprise à l’aide de nombreux connecteurs.


Sale temps pour Zoom, qui met les bouchées doubles sur la confidentialité et la sécurité

Face à l’avalanche de problème sur ses vulnérabilités, ses pratiques en matière de confidentialité ou encore sa tendance à permettre le flicage de ses utilisateurs, Zoom tente, tant bien que mal, de redorer son blason, corrigeant les failles et annonçant une série de mesures. 

L’éditeur de l’outil de vidéoconférence a passé une semaine catastrophique. Le week-end dernier, Zoom tentait d’éteindre l’incendie déclenché par une enquête de Vice, enquête qui démontrait que le service partageait les données de ses utilisateurs avec Facebook. Feignant l’ignorance, l’entreprise s’empressait de supprimer le SDK de Facebook mais le mal était déjà fait, un utilisateur déposant une plainte aux États-unis tandis que la procureure générale de New York annonçait scruter de près les pratiques de Zoom. 

Puis, coup sur coup, des chercheurs en sécurité découvrent d’une part que sur macOS, le client d’installation de Zoom se conduit comme un véritable malware, installant l’outil sans la moindre interaction de l’utilisateur, en utilisant des scripts de préinstallation pour décompresser l’application à l’aide d’un 7zip et l’installer directement dans Applications, et d’autre part que le service permet de dérober le login Windows d’un utilisateur. 

Des failles partout

En effet, Zoom supporte les chemins UNC (Universal Naming Convention), un protocole définissant l’adresse d’une ressource sur un réseau ou une machine, distants. Ceux-ci convertissent les Uniform Resource Identifier en hyperlien, quand bien même l’URI n’est pas sécurisée. Il suffit alors d’inciter l’utilisateur à cliquer sur le lien pour que Windows expose automatiquement le nom d'utilisateur et le mot de passe chiffré à un serveur SMB distant lors de la tentative de connexion et de téléchargement d'un fichier hébergé sur celui-ci. Cette méthode permet en outre à un attaquant d’utiliser cette faille pour exécuter un script sans invite appelé à partir de ce même répertoire de téléchargement Windows. 

Enfin, pour couronner le tout, le New York Times a dévoilé jeudi que, du fait d’une intégration avec l’outil Sales Navigator de LinkedIn, les membres d’une conversation était en mesure de consulter les informations du profil LinkedIn de certains de leurs interlocuteurs, quand bien même ceux-ci n’auraient pas renseigné dans la discussion leur identité réelle. « Une fois qu'un utilisateur de Zoom a activé la fonctionnalité, cette personne peut afficher rapidement et secrètement les données de profil LinkedIn - comme les localisations, les noms d'employeurs et les postes - des personnes participant à la réunion Zoom en cliquant sur une icône LinkedIn à côté de leurs noms » écrivait le NYT. 

Des excuses et du changement

Bref, ça chauffe pour Zoom. Eric S. Yuan, son patron, a de nouveau été contraint de prendre la plume pour s’excuser et reconnaître « ne pas avoir pas répondu aux attentes de la communauté - et aux nôtres - en matière de confidentialité et de sécurité ». Ce que l’entreprise explique par son public historique, les entreprises. Soit un nombre limité d’utilisateurs. « Nous avons maintenant un panel d'utilisateurs beaucoup plus large qui utilise notre produit d'une myriade de façons inattendues, nous présentant des défis que nous n'avions pas anticipés lorsque la plateforme a été conçue » indique Eric S. Yuan.

Il annonce donc une série de mesures, certaines déjà mises en place, d’autres à venir. A commencer par la suppression du SDK de Facebook dès le 27 mars et la mise à jour de sa politique de confidentialité deux jours plus tard. Le CEO ajoute à cela une note de blog relative au chiffrement, reconnaissant et s’excusant d’avoir entretenu une certaine confusion en affirmant noir sur blanc que le service était chiffré de bout en bout, ce qui n’était absolument pas le cas. 

En outre, la fonction de suivi de l’attention des participants, permettant à un administrateur de fliquer ses interlocuteurs, a été supprimée, de même que l’outil LinkedIn Sales Navigator. Enfin des patchs ont été déployés afin de corriger les vulnérabilités sur macOS et Windows. Dans les trois mois à venir, Zoom entend s’engager sur la voie de la sécurité et de la transparence, mettant en pause la sortie de nouvelles fonctionnalités pour se concentrer sur l’amélioration de la sécurité et réalisant des pentests ainsi qu’un audit complet avec des experts tiers et des utilisateurs représentatifs ainsi qu’un rapport de transparence sur les données collectées.


Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider
Autres infos Tendances

A VOTRE AVIS...
Offres d'emploi informatique avec  Emploi en France
jooble

Emploi IT

Emploi IT

Avec l’évolution des technologies, portées par le Cloud, les conteneurs, les data sciences et le développement cross-platform, les métiers sont eux aussi amenés à changer. Malt, plate-forme de mise...

Gestion de l'information

Gestion de l'information

La gestion de l’information s’est imposée depuis dix ans comme un pan important de la transformation numérique des entreprises. Comment satisfaire un client si vous ne le connaissez pas finement par des informations...

French Tech FT120

French Tech FT120

83 entreprises sont sélectionnées pour le French Tech 120, où elles siègent aux côtés du Next 40. L’e-santé et le retail y sont surreprésentés, quand la...

AMP

AMP

Lancé par Google, AMP vient récemment de changer de gouvernance. C’est désormais un projet en incubation sous la responsabilité de la fondation OpenJS, elle-même née de la fusion des fondations...

WebAssembly

WebAssembly

Va-t-il réussir là où le Java a échoué ? WebAssembly ne semblait être qu’une solution pour faire tourner du C/C++ dans le navigateur web, une technologie qui séduit et qui pourrait bien avoir...

RSS
Afficher tous les dossiers

COMMUNICATIONS UNIFIÉES : une convergence accrue entre communication et collaboration - Réussir StopCovid ! - Énergie : les datacenters sur le grill - Le lourd poids de la dette technique - GitLab comme solution DevSecOps - Les femmes, avenir de la filière IT ? - Apps de messagerie, attention danger ? - Pôle IA Toulouse...

 

BASES DE DONNÉES : le DBaaS va tout balayer - Gestion de l'information : structurer le non structuré ! - Municipales : la politique se numérise, le numérique se politise - Cybersécurité : les planètes Cyber alignées ! - DevOps : WebAssembly, langage assembleur du Web - AMP confié à OpenJS - Pénurie des formations IA - À la recherche de nouvelles compétences IT...

 

20 TECHNOS pour 2020 et au-delà... : multicloud, rpa, edge&fog, apis, quantique... - La transfo numérique exemplaire d'une PME industrielle - BYOK : chiffrer le Cloud - L'Open Source teinté d'Orange - Mettre de l'intelligence dans l'APM - Le disque dur fait de la résistance - CI/CD as a Service - Digital Campus, n°1 des écoles du numérique...

 

Afficher tous les derniers numéros

Malgré des investissements massifs dans le développement à hauteur de près de 4 milliards de dollars l'année dernière, près de la moitié du temps consacré au DevOps est perdu dans la répétition des tâches et dans la logistique. Ceci fait que 90% des entreprises qui ont adopté ces pratiques sont déçues par les résultats, selon une étude publiée par le Gartner.


Découvrez dans ce livre blanc, les avantages des toutes nouvelles solutions NETGEAR, pour simplifier et rentabiliser vos déploiements, et gérer votre réseau à distance, où que vous soyez, au bureau ou en télé-travail.


OneTrust est une plateforme logicielle innovante de gestion de la confidentialité, de la sécurité des données personnelles et des risques fournisseurs. Plus de 4 000 entreprises ont choisi de faire confiance à cette solution pour se conformer au RGPD, au CCPA, aux normes ISO 27001 et à différentes législations internationales de confidentialité et de sécurité des données personnelles.

OneTrust vous propose de télécharger le texte officiel du Règlement Général sur la Protection des Données (RGPD). Vous aurez également la possibilité de recevoir la version imprimée de ce texte, sous forme de guide pratique au format A5, spiralé, en complétant le formulaire.


Le présent guide d'achat vous aidera à améliorer l'efficacité de votre cloud hybride, en mettant l'accent sur les stratégies de gestion des données dédiées aux applications correspondantes.


Les entreprises et les organismes publics se focalisent aujourd’hui sur la transformation numérique. En conséquence, les DevOps et l’agilité sont au premier plan des discussions autour des stratégies informatiques. Pour offrir ces deux avantages, les entreprises travaillent de plus en plus avec les fournisseurs de services de cloud public et développent désormais des clouds sur site à partir d’une infrastructure qui répond à trois exigences de base:
1. Agilité sans friction des ressources physiques
2. Systèmes de contrôle optimisant l'utilisation des ressources physiques et offrant un retour sur investissement maximal
3. Intégration des divers composants de l'infrastructure pour un provisionnement et une gestion des ressources automatisés.


Tous les Livres Blancs
Derniers commentaires
Un tweet de Donald Trump sur un téléphone portable, à Vaasa (Finlande) le 29 mai 2020Twitter met des avertissements sur les messages de @realDonaldTrump. Trump accuse Twitter de faire preuve d'activisme politique. Et les tweets fusent, dans tous les sens.  [Lire la dépêche...]

La page Twitter du président américain Donald Trump sur un téléphone portable, à Vaasa (Finlande) le 29 mai 2020L'escalade se poursuit: le compte officiel de la Maison Blanche @WhiteHouse a tweeté vendredi le message de Donald Trump sur Minneapolis qui avait été signalé par Twitter pour "apologie de la violence". [Lire la dépêche...]

Le logo 5G sur la vitrine d'une boutique Huawei, le 25 mai 2020 à PékinLe Royaume-Uni a approché les États-Unis pour former un club de 10 pays qui pourraient ensemble développer leur propre technologie 5G et réduire la dépendance à l'égard de l'équipementier chinois Huawei, a rapporté vendredi le journal The Times.  [Lire la dépêche...]

Des piétons dans une rue du quartier chinois de Bangkok, le 21 mai 2020 en ThaïlandeDans certains pays d'Asie, un déluge de fausses informations et de canulars sur le nouveau coronavirus a envahi internet, alimentant la peur et la confusion.  [Lire la dépêche...]

La page Twitter du président américain Donald Trump sur un téléphone portable, à Vaasa (Finlande) le 29 mai 2020Twitter a masqué vendredi un message de Donald Trump sur les affrontements de Minneapolis, le laissant néanmoins accessible, pour signaler une "apologie de la violence", faisant monter d'un cran la polémique avec le président américain qui cherche à limiter la protection des réseaux sociaux et leur latitude à modérer les  contenus. [Lire la dépêche...]

Ulcéré par l'attitude de Twitter à son égard, Donald Trump a signé jeudi un décret visant à limiter la protection des réseaux sociaux et la latitude dont ils bénéficient dans la modération de leurs contenusDonald Trump s'est attaqué jeudi aux réseaux sociaux en menaçant de revenir sur une loi américaine presque aussi vieille qu'internet, qui protège les plateformes et leur laisse le champ libre dans la modération des contenus.  [Lire la dépêche...]

Facebook a réagi mercredi à un article de presse qui l'accusait d'avoir tué dans l'oeuf des tentatives de rendre la plateforme moins clivanteFacebook a réagi mercredi à un article de presse qui l'accusait d'avoir tué dans l'oeuf des tentatives de rendre la plateforme moins clivante, en rappelant les différentes mesures prises depuis 2016 pour assainir les échanges. [Lire la dépêche...]

Une femme regarde une vue aérienne de Paris à l'occasion du lancement de la nouvelle version de Google Earth à New York le 18 avril 2017Nouvelle affaire à suivre en justice pour Google: l'Arizona a intenté une procédure mercredi contre le géant de la recherche en ligne, accusé d'avoir d'avoir collecté des données personnelles que ses utilisateurs voulaient ne pas fournir. [Lire la dépêche...]

Toutes les dépêches AFP
AgendaIT

DEVOXX (ANNULÉ)

Devoxx France qui se présente comme la première conférence indépendante pour les développeurs en France tient sa 9ème édition du 1er au 3 juillet 2020 à Paris au Palais de Congrès de la Porte Maillot. Organisée par Quantixx.

BIG DATA

Conférences et exposition sur le Big Data les 14 et 15 septembre 2020 à Paris, Porte de Versailles. Organisé par Corp Agency.

AI PARIS

Conférence, exposition et rendez-vous d'affaires sur l'intelligence artificielle à Paris, Porte de Versailles les 14 et 15 septembre 2020. Organisé par Corp Agency.

RSS
Voir tout l'AgendaIT
0123movie