Le zoom est une solution de visioconférence qui est devenu très populaire en raison de la distanciation sociale imposée par la pandémie COVID-19. Étant donné que sa version gratuite permet de surmonter les limitations des appels vidéo de groupe WhatsApp, elle est devenue très populaire parmi les utilisateurs à domicile.
Les questions à zoomer
Cette popularité soudaine a conduit les experts en sécurité informatique (et quelques autres cybercriminels) s'intéresser à ses fonctionnalités de confidentialité et de sécurité.
Le bureau du procureur général de New York, Letitia James, a envoyé à l'entreprise une demande à signaler les nouvelles mesures de sécurité mises en place par l'entreprise pour gérer l'augmentation du trafic sur son réseau et détecter les cybercriminels.
Pour le parquet, le cabinet responsable du service a été lent à corriger les failles de sécurité telles que les vulnérabilités "Ce qui pourrait permettre à des tiers malveillants, entre autres, d'accéder clandestinement aux webcams grand public."
Tout a commencé avec l'attaque booste désormais connue sous le nom de «Zoombombing». »
Ce mot fait référence à la exploiter la fonction de partage d'écran de Zoom pour détourner des réunions et interrompre les sessions éducatives ou publier des messages de suprématie blanche dans un webinaire sur l'antisémitisme,
Les procureurs se déclarent préoccupés par le fait que:
Les pratiques de sécurité actuelles de Zoom peuvent ne pas être suffisantes pour s'adapter à l'augmentation soudaine récente du volume et de la sensibilité des données transitant sur votre réseau.
Bien qu'ils reconnaissent que les vulnérabilités détectées ont été corrigées, ils demandent à Zoom si vous avez entrepris un examen plus large de vos pratiques de sécurité.
Partage de données avec Facebook
Il y a quelques jours, on a découvert que le client Zoom pour iOS a envoyé des données à Facebook. C'est arrivé même si l'utilisateur n'avait pas de compte sur ce réseau social.
Cela peut ne pas être délibéré. De nombreuses applications utilisent les kits de développement logiciel (SDK) de Facebook pour implémenter plus facilement des fonctionnalités dans leurs applications.
Lors du téléchargement et de l'ouverture de l'application, Zoom se connecte à l'API Graph de Facebook. L'API Graph est le principal moyen pour les développeurs d'obtenir des données sur ou hors de Facebook.
L'application Zoom a informé Facebook lorsque l'utilisateur a ouvert l'application, les détails de l'appareil de l'utilisateur tels que le modèle, le fuseau horaire et la ville à partir de laquelle il se connecte, la compagnie de téléphone qu'il utilise et un identifiant d'annonceur unique créé par l'appareil de l'utilisateur que les entreprises peuvent utiliser pour cibler un utilisateur avec des publicités.
Le dernier vendredi, l'application a été mise à jour. Dans la nouvelle version l'utilisation du SDK a été remplacée par une authentification sur Facebook à l'aide du navigateur.
Autres problèmes de confidentialité
Zoom aussi ta d'autres problèmes potentiels de confidentialité. Les hôtes des appels Zoom peuvent voir si la fenêtre Zoom est ouverte ou pas, ce qui signifie que ils peuvent vérifier si les gens sont susceptibles de prêter attention. Administrateurs aussi ils peuvent afficher l'adresse IP, les données de localisation et les informations sur l'appareil. Si un utilisateur enregistre un appel via Zoom, les administrateurs peut accéder au contenu de cet appel enregistré, y compris les fichiers vidéo, audio, de transcription et de discussion, ainsi que l'accès au partage, à l'analyse et à la gestion des privilèges cloud. Les administrateurs ont également la possibilité de rejoindre n'importe quel appel à tout moment à la demande de leur organisation Zoom, sans consentement préalable ni préavis pour appeler les participants.
Si vous utilisez un Mac et que Zoom est installé, vous devez faire attention à ce que vous faites devant la caméra. Jonathan Leitschuh, analyste en sécurité, publié deux liens à partir desquels il est possible à partir d'un site Web d'activer la webcam des utilisateurs de Mac sans leur consentement et sans leur connaissance.
Mais les choses ne sont pas meilleures pour les utilisateurs de Windows. D'après expert en cybersécurité @ _g0dmode, Zoom pour Windows est vulnérable à un vulnérabilité classique "injection de chemin UNC" qui pourrait permettre à des attaquants distants de voler les informations de connexion Windows victimes et même exécuter des commandes arbitraires sur leurs systèmes.
Ces attaques sont possibles car Zoom pour Windows prend en charge les chemins UNC distants qui convertissent les URI potentiellement dangereux en hyperliens lorsqu'ils sont reçus via des messages de discussion à un destinataire dans une discussion personnelle ou de groupe.
Ce qui est sérieux dans tout cela, c'est que nous parlons d'un service qui est sur le marché depuis 9 ans et d'une application qui est l'une des plus téléchargées dans les deux magasins d'applications.
Il y a quelques jours, à Linux Adictos Nous vérifions certaines solutions de visioconférence open source que vous pouvez utiliser.