Actualités

Zoom : décortiqué à la loupe par la FTC, l’éditeur a conclu un accord pour sécuriser ses solutions de vidéo-conférences !

Abysse insécuritaire, le nœud du problème résidait dans l’apologie du chiffrement de bout-en-bout ainsi mis en avant, depuis 2015 : une promotion de son chiffrement AES 256 qui a provoqué tout du long l’ire des utilisateurs dont celle de la FTC (Fédéral Trade Commission, Etats-Unis) qui avait déposé une plainte courant de cette année 2020. Un accord a, enfin, semble t-il été conclu pour juguler le cas de Zoom…

 

 

La plainte de la Commission Fédérale pointe du doigt un problème bien connu des utilisateurs : le chiffrement de bout-en-bout. Si depuis Mars ou Avril dernier, le problème irritait au plus haut point en remontant à la surface une information tronquée ou trompeuse sur le site officiel de l’éditeur, l’affaire est bien plus antérieure que cela. En effet, dès 2015, Zoom exploitera l’argument maintes fois en mentionnant textuellement, à travers des guides ou des publications de blog par exemple, que les logiciels possèdent un chiffrement AES 256 et / ou de bout-en-bout ce qui s’est avéré, par la suite, totalement faux. Dans la réalité, la FTC rappelle que Zoom Meetings repose sur un chiffrement AES, certes, mais “seulement” de 128 bits ; une sécurité existante mais moindre que ce qui a été rabattu entre 2015 et 2019 par l’éditeur. Même finalité trompeuse pour les enregistrements vidéo depuis le Cloud dédié : depuis 2016, il était assuré que ces derniers étaient stockés de manière complètement sécurisée sur ce Cloud. Dans la réalité, ces enregistrements étaient stockés en clair et jusqu’à 60 jours.

Autre point : une mise à jour non-transparente pour l’utilisateur déployée par Zoom le 1er Juillet 2018. Celle-ci concernait ZoomOpener sous macOS ; plus précisément le navigateur Safari : la mise à jour (que la FTC relève, en terme d’information-utilisateur, très légère avec en descriptif bleuté “correction de bugs mineurs”…) avait pour but d’annuler une pop-in (boîte de dialogue) mise en place par Apple pour permettre une interaction manuelle de l’utilisateur alors que ce dernier cliquait sur un lien pointant vers Zoom Meeting (avec deux commandes : Permettre ou Refuser). Zoom l’a tout simplement et silencieusement supprimée en déployant le serveur Web ZoomOpener. L’ensemble fonctionnait un peu comme un mouchard : en arrière-plan, dès que le système détectait un clic-utilisateur de ce type de lien (vers le navigateur Safari, donc) Zoom contournait la propre règle établie par Apple (…) pour ouvrir l’application. Comble insécuritaire : si l’utilisateur n’avait pas pris soin de bien vérifier ses paramètres de profil-compte, par défaut, la Web-cam était active… Un détail lourd de finalité pour quiconque voulait ou pouvait potentiellement exploiter ce qui ressemble, en l’état, à une vulnérabilité. La FTC donne le cas d’une attaque par phishing en interceptant indirectement le compte mail relié à la connexion ainsi non sécurisée. Dans les faits, deux vulnérabilités sont évoquées, découlant de ce serveur Web : d’une part, assignée CVE-2019-13567 le 9 Juillet 2019, une exécution de code distant (RCE) via un détournement des déploiements de mises à jour pour injecter du code malveillant ; d’autres part, une attaque DoS (Déni de Service) en créant une boucle sans fin par l’entremise des requêtes (liens) liées à Meeting. A noter, enfin, que le 31 Mars 2020, Zoom essuyait une attaque par brute-force des mots de passe entraînant une faiblesse sécuritaire dans les jetons CSRF.

En vertu de ces points insécuritaires qui ont largement trainé en terme d’années, Zoom est gâté puisque la FTC lui prodigue un accord digne du RGPD, pour lui seul :

 

  • Mise en place d’un programme sécuritaire gérant mieux les vulnérabilités : action-décision inférieure ou égal à 30 jours,
  • Prévoir une ou plusieurs personnes dédiées et spécialisées dans le programme sécuritaire,
  • Mise en place d’outils de veille (réseau, pare-feu, authentification-double, processus…),
  • Publication des vulnérabilités 180 jours après leur découverte,
  • Une fois par an à compter de la date d’émission de l’accord FTC : mise en place d’une certification liée au responsable sécurité.

 

 

En théorie, l’année 2021 devrait, pour Zoom s’entamer de manière positive avec une telle check-list pour, enfin, considérer éthiquement ses millions d’utilisateurs… A veiller !

 

Sources :




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020 - v1.3.1