[Màj. Mai 2020]

https://blog.zoom.us/wordpress/2020/05/26/update-your-zoom-rooms-security-enhancements-gcm-encryption-readiness/ 

https://blog.zoom.us/wordpress/2020/05/20/90-day-security-plan-progress-report-may-20/ 

[Màj. Avril 2020] ZOOM 5.0 est sorti ! 

-> En savoir plus : https://zoom.us/docs/en-us/zoom-v5-0.html?zcid=1231

-> Téléchargez la dernière version Zoom 5.0 : https://zoom.us/download?zcid=1231

-> Un plan à 90 jours composé de mesures à prendre pour sécuriser la solution est lancé 

https://blog.zoom.us/wordpress/2020/04/08/update-on-zoom-90-day-plan-to-bolster-key-privacy-and-security-initiatives/ 

https://blog.zoom.us/wordpress/2020/04/08/zoom-product-updates-new-security-toolbar-icon-for-hosts-meeting-id-hidden/


Concernant la sécurité de Zoom, nous sommes très sensibles à la sécurité. Il est tout à fait normal qu’une solution avec un tel succès fasse l’objet d’une grande attention (des hackers et des concurrents). En mars 2020, Zoom est passé de 10 millions à 300 millions d’utilisateurs en qq semaines. 


Il faut distinguer les failles de sécurité (réelles) des mauvaises utilisations de la solution.


Côté utilisation, certains problèmes de sécurité viennent des utilisateurs eux-mêmes et non pas d’une faiblesse technologique de l’outil. Récemment, les identifiants de 500 000 comptes Zoom ont été découverts sur internet. En fait, il s’agissait des identifiants et mots de passe de personnes qui utilisent toujours les mêmes partout. 

« En effet, bon nombre d’identifiants proviendraient d’attaques de type « credential stuffing » qui consiste à tester des mots de passe issues d’autres fuites de données sur le web. Autrement dit, des pirates s’amusent à tester des mots de passe volés sur différentes plateformes avec des outils qui automatisent cette tâche. »


Concernant le zoom bombing, c'est-à-dire le fait que des intrus s’invitent dans les conversations, les utilisateurs avaient diffusé les liens de connexion sur les réseaux sociaux, n’avait pas activé de mot de passe, et ne filtraient pas les gens quand ils se connectaient, etc…


Précautions à prendre

  1. La première précaution est donc d'effectuer les mises à jour proposées, sur son ordinateur ou son smartphone.
  2. Un réunion en ligne doit se préparer autant qu’une réunion physique et avec les mêmes règles de sécurité (comme ne pas laisser rentrer n’importe qui..)
  3. Il s'agit pour l'hôte d’une réunion de bien connaître toutes les fonctionnalités de l'outil et savoir les utiliser correctement pour éviter tout désagréments. On s’aperçoit que les utilisateurs découvrent ces solutions et ont de très mauvaises pratiques par méconnaissance de l’outil et non pas par faiblesse technologique de l’outil.


Coté sécurité, certaines alertes étaient de réelles failles de sécurité mais elles ont toutes été corrigées depuis. Zoom a annoncé qu’elle dédierait l’intégralité de ses effectifs au développement des fonctionnalités de sécurité pendant 90 jours entre mars et mai 2020. Au-delà des failles de sécurité qui touchent tous les logiciels, il faut regarder l’intention et la capacité de ces  sociétés à les corriger rapidement… Ce que fait Zoom (voir tous leurs communiqués de presse). 


De nombreux bugs de sécurités ont déjà été corrigés. L’application a été mise à jour avec l’ajout notamment d’un nouveau panneau « sécurité » Il reste des failles (réelles) comme n’importe quel autre solution (webex inclut) qui seront corrigées dans les prochaines semaines.

En savoir plus : 


Beaucoup d'autres solutions sont aussi victimes de graves failles de sécurité, par exempleentre 2019 et 2020 : 

  • Un répertoire des noms, adresses courriel, dates de naissance et numéros de téléphone de 267 millions d’utilisateurs et utilisatrices de Facebook est offert pour 770 $ sur le dark Web selon ce que rapporte la firme de cybersécurité Cyble.
  • Decathlon a été confronté à une fuite de 123 millions de données personnelles (mots de passe, numéros de sécurité sociale, numéros de téléphones, dates de naissance et adresses mails et postales)
  • 440 millions de données de Estée Lauder étaient exposées en ligne.
  • Microsoft vient de corriger, ce 15 avril 2020, 113 failles de sécurité sur Windows 10  dont 3 largement employées par les pirates
  • Webex conçurent de Zoom vient de corriger une grosse faille de sécurité qui permettait à n’importe qui de rejoindre les réunions privées


Plus généralement, il faut que chaque organisation utilise la solution la mieux adaptée à son modèle de menace et mesurer le bénéfice /risque. Si les échanges tenus dans les réunions sont d’un certain niveau de criticité, mieux vaut éviter Zoom mais aussi Webex, Slack, Skype, Google Meets ou encore Microsoft Teams (qui sont toutes dans le cloud et toutes des entreprises américaines soumises au « patriot act » et qui publient régulièrement des « rapports de transparence »)


D’ailleurs, le gouvernements français qui déconseille Zoom déconseille aussi : Webex, Slack, Skype, Google Meets ou encore Microsoft Teams.