X

Sale temps pour Zoom, qui met les bouchées doubles sur la confidentialité et la sécurité

Face à l’avalanche de problème sur ses vulnérabilités, ses pratiques en matière de confidentialité ou encore sa tendance à permettre le flicage de ses utilisateurs, Zoom tente, tant bien que mal, de redorer son blason, corrigeant les failles et annonçant une série de mesures. 

L’éditeur de l’outil de vidéoconférence a passé une semaine catastrophique. Le week-end dernier, Zoom tentait d’éteindre l’incendie déclenché par une enquête de Vice, enquête qui démontrait que le service partageait les données de ses utilisateurs avec Facebook. Feignant l’ignorance, l’entreprise s’empressait de supprimer le SDK de Facebook mais le mal était déjà fait, un utilisateur déposant une plainte aux États-unis tandis que la procureure générale de New York annonçait scruter de près les pratiques de Zoom. 

Puis, coup sur coup, des chercheurs en sécurité découvrent d’une part que sur macOS, le client d’installation de Zoom se conduit comme un véritable malware, installant l’outil sans la moindre interaction de l’utilisateur, en utilisant des scripts de préinstallation pour décompresser l’application à l’aide d’un 7zip et l’installer directement dans Applications, et d’autre part que le service permet de dérober le login Windows d’un utilisateur. 

Des failles partout

En effet, Zoom supporte les chemins UNC (Universal Naming Convention), un protocole définissant l’adresse d’une ressource sur un réseau ou une machine, distants. Ceux-ci convertissent les Uniform Resource Identifier en hyperlien, quand bien même l’URI n’est pas sécurisée. Il suffit alors d’inciter l’utilisateur à cliquer sur le lien pour que Windows expose automatiquement le nom d'utilisateur et le mot de passe chiffré à un serveur SMB distant lors de la tentative de connexion et de téléchargement d'un fichier hébergé sur celui-ci. Cette méthode permet en outre à un attaquant d’utiliser cette faille pour exécuter un script sans invite appelé à partir de ce même répertoire de téléchargement Windows. 

Enfin, pour couronner le tout, le New York Times a dévoilé jeudi que, du fait d’une intégration avec l’outil Sales Navigator de LinkedIn, les membres d’une conversation était en mesure de consulter les informations du profil LinkedIn de certains de leurs interlocuteurs, quand bien même ceux-ci n’auraient pas renseigné dans la discussion leur identité réelle. « Une fois qu'un utilisateur de Zoom a activé la fonctionnalité, cette personne peut afficher rapidement et secrètement les données de profil LinkedIn - comme les localisations, les noms d'employeurs et les postes - des personnes participant à la réunion Zoom en cliquant sur une icône LinkedIn à côté de leurs noms » écrivait le NYT. 

Des excuses et du changement

Bref, ça chauffe pour Zoom. Eric S. Yuan, son patron, a de nouveau été contraint de prendre la plume pour s’excuser et reconnaître « ne pas avoir pas répondu aux attentes de la communauté - et aux nôtres - en matière de confidentialité et de sécurité ». Ce que l’entreprise explique par son public historique, les entreprises. Soit un nombre limité d’utilisateurs. « Nous avons maintenant un panel d'utilisateurs beaucoup plus large qui utilise notre produit d'une myriade de façons inattendues, nous présentant des défis que nous n'avions pas anticipés lorsque la plateforme a été conçue » indique Eric S. Yuan.

Il annonce donc une série de mesures, certaines déjà mises en place, d’autres à venir. A commencer par la suppression du SDK de Facebook dès le 27 mars et la mise à jour de sa politique de confidentialité deux jours plus tard. Le CEO ajoute à cela une note de blog relative au chiffrement, reconnaissant et s’excusant d’avoir entretenu une certaine confusion en affirmant noir sur blanc que le service était chiffré de bout en bout, ce qui n’était absolument pas le cas. 

En outre, la fonction de suivi de l’attention des participants, permettant à un administrateur de fliquer ses interlocuteurs, a été supprimée, de même que l’outil LinkedIn Sales Navigator. Enfin des patchs ont été déployés afin de corriger les vulnérabilités sur macOS et Windows. Dans les trois mois à venir, Zoom entend s’engager sur la voie de la sécurité et de la transparence, mettant en pause la sortie de nouvelles fonctionnalités pour se concentrer sur l’amélioration de la sécurité et réalisant des pentests ainsi qu’un audit complet avec des experts tiers et des utilisateurs représentatifs ainsi qu’un rapport de transparence sur les données collectées.


Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider
Autres infos Tendances

Aujourd'hui, les Directeurs Comptables et Financiers ont envie de dématérialiser leurs factures fournisseurs. C'est plutôt l'idée de devoir s'intégrer à un environnement multi-ERP déjà existant qui les freine. Mais est-ce réellement une barrière ? Dans son nouveau Livre Blanc, Esker explore ce sujet. En le téléchargeant, vous découvrirez comment la dématérialisation peut être une aubaine plutôt qu'un fardeau.


Actuellement, il existe un gouffre entre les environnements informatiques traditionnels des entreprises et le cloud public. Tout diffère : les modèles de gestion, de consommation, les architectures applicatives, le stockage, les services de données.


Les avantages de l’architecture hyperconvergée étant de plus en plus reconnus, de nombreuses entreprises souhaitent l’utiliser pour des types d’applications variés. Cependant, son manque de souplesse pour une mise à niveau des ressources de calcul indépendantes de celles de stockage ne lui permet pas d’être utilisée plus largement.

Au cours de l’événement HPE Discover qui s’est tenu en juin 2019, HPE a répondu à cette préoccupation en présentant la plateforme HPE Nimble Storage dHCI.

Ce Livre Blanc IDC se penche sur les exigences du marché ayant stimulé le besoin de solutions HCI plus flexibles, puis il examine brièvement la solution HPE Nimble Storage dHCI en expliquant pourquoi elle répond à ce besoin.


Découvrez dans ce livre blanc, les avantages des toutes nouvelles solutions NETGEAR, pour simplifier et rentabiliser vos déploiements, et gérer votre réseau à distance, où que vous soyez, au bureau ou en télé-travail.


Tous les Livres Blancs
Offres d'emploi informatique avec  Emploi en France
jooble

L’emploi aux temps du Corona

L’emploi aux temps du Corona

Bien que moins sinistré que d’autres par la Covid-19, le secteur de l’IT a lui aussi connu de profonds changements durant le confinement et devrait en tirer quelques enseignements.

No Code / Low Code

No Code / Low Code

Le No Code / Low Code ne cesse de faire parler de lui en ce moment avec des outils comme Appian, Intrexx, Lightning, Unqork et autres Microsoft Flow. Est-ce le début de la fin pour les développeurs ? Peut-être, peut-être...

Gestionnaire de mots de passe

Gestionnaire de mots de passe

Enregistrer ses mots de passe dans un coffre-fort numérique plutôt que les noter sur un carnet, un post-it ou un fichier Excel… Tel est le principe des gestionnaires de passwords qui ne cessent de gagner de nouveaux...

Datacenters sur le grill

Datacenters sur le grill

Véritable usine de production de l’économie numérique, le datacenter focalise les critiques des associations environnementales. Ces installations dont les plus grosses peuvent consommer jusqu’à une centaine...

RSS
Afficher tous les dossiers

IT DU MONDE D'APRÈS, IT DE DEMAIN (1) : automatisation, gestion de l'info, mobilité, sécurité - Health Data Hub - Le VPN meilleure solution pour le télétravail ? - Project Reunion Microsoft : retour des apps universelles - Power Over Ethernet, une avancée discrète - Pourquoi Apple choisit ARM plutôt qu'Intel ? - La Silicon Valley dans tous ses états - Produits high tech de loisirs du moment...

 

GESTIONNAIRE DE MOTS DE PASSE : un outil indispensable ? - Pandémie & Tech : gagnants et perdants - Multicloud : réalité d'aujourd'hui, impacts sur l'infrastructure et l'applicatif - Project Reunion Microsoft - No Code/Low Code en plein essor - Cobol V6 - Cyberattaques Covid-19 - L'emploi au temps du Corona...

 

COMMUNICATIONS UNIFIÉES : une convergence accrue entre communication et collaboration - Réussir StopCovid ! - Énergie : les datacenters sur le grill - Le lourd poids de la dette technique - GitLab comme solution DevSecOps - Les femmes, avenir de la filière IT ? - Apps de messagerie, attention danger ? - Pôle IA Toulouse...

 

Afficher tous les derniers numéros
Derniers commentaires
La youtubeuse française Léna Situations, de son vrai nom Léna Mahfouf, à Paris le 24 juin 2020 "C'est trop gratifiant", mais "c'est épuisant psychologiquement": la youtubeuse Léna Situations s'est lancée dans sa 4e saison de "vlogs d'août", une version accélérée de sa vie de fashionista, de "petite nana hyperactive" autoproclamée. [Lire la dépêche...]

Une image du modèle de navette développé par Virgin Galactic diffusée par la compagnie le 3 août 2020La compagnie de tourisme spatial Virgin Galactic a estimé lundi qu'elle serait en mesure d'effectuer un premier vol touristique dans l'espace au premier trimestre 2021, avec l'envoi de son fondateur Richard Branson. [Lire la dépêche...]

Le président américain Donald Trump a menacé, tour à tour, de forcer le chinois ByteDance à céder l'application TikTok, puis de la bannir des Etats-Unis tout courtAprès avoir soufflé le chaud et le froid, Donald Trump s'est finalement déclaré favorable à un rachat rapide par Microsoft de TikTok, propriété du Chinois ByteDance, tout en exigeant qu'une partie de la transaction soit versée dans "les caisses de l'Etat". [Lire la dépêche...]

Google a présenté un nouveau smartphone d'enrée de gamme le 3 août 2020Google a présenté lundi un nouveau smartphone d'entrée de gamme, et annoncé le lancement de téléphones adaptés à la 5G plus tard cette année, dans un marché en baisse. [Lire la dépêche...]

Le président américain Donald Trump a menacé, tour à tour, de forcer le chinois ByteDance à céder l'application TikTok, puis de la bannir des Etats-Unis tout courtDonald Trump a déclaré lundi que le très populaire réseau social TikTok, propriété du Chinois ByteDance, devrait être vendu avant la mi-septembre pour pouvoir continuer à opérer aux Etats-Unis. [Lire la dépêche...]

L'avion supersonique imaginé par Virgin dans des images publiées le 3 août 2020 est une aile delta capable d'accueillir entre 9 et 19 passagersLa société spatiale Virgin Galactic a annoncé lundi un partenariat préliminaire avec le constructeur de moteurs Rolls Royce pour construire un avion de ligne capable de voler à trois fois la vitesse du son. [Lire la dépêche...]

TikTok est très utilisé par les 15-25 ans et compte environ un milliard d'utilisateurs dans le mondeLe fondateur de ByteDance, maison mère du réseau social TikTok menacé d'interdiction aux Etats-Unis, a indiqué lundi que ses équipes travaillaient dur pour obtenir "la meilleure issue possible" à la crise, selon un média officiel chinois. [Lire la dépêche...]

Le polémiste Dieudonné le 22 juin 2020 à ChartresLe groupe Facebook a annoncé lundi avoir banni de manière définitive de Facebook et Instagram le polémiste français Dieudonné M'Bala M'Bala, pour "contenu se moquant des victimes de la Shoah" et "termes déshumanisants à l'encontre des Juifs" [Lire la dépêche...]

Toutes les dépêches AFP
AgendaIT

HEXATRUST

6ème université d'été de l'association Hexatrust sur le thème "Vers une autonomie stratégique européenne" le 3 septembre 2020 à Paris (CCI). Sur invitation. Organisée par Hexatrust.

BIG DATA

Conférences et exposition sur le Big Data les 14 et 15 septembre 2020 à Paris, Porte de Versailles. Organisé par Corp Agency.

AI PARIS

Conférence, exposition et rendez-vous d'affaires sur l'intelligence artificielle à Paris, Porte de Versailles les 14 et 15 septembre 2020. Organisé par Corp Agency.

DOCUMATION

Congrès et exposition Documation du 22 au 24 septembre 2020  à Paris Porte de Versailles (Pavillon 4.3). Organisé par Infopromotions.

AP CONNECT

La 3ème édition d'AP Connect qui vise à réunir les innovations, technologies et solutions dédiées à la transition numérique des administrations publiques centrales et des collectivités territoriales a lieu les 22 et 23 septembre 2020 à Espace Grande Arche, Paris La Défense. Organisé par PG Organisation.

RSS
Voir tout l'AgendaIT