Hi-Tech

Vidéoconférence : Les failles de sécurité font réagir ZOOM

04 Avril 2020 À 15:25

La solution de vidéoconférence «Zoom» a vu sa côte de popularité grimper en flèche depuis l’adoption massive du télétravail dans le cadre des mesures de confinement. Une aubaine pour l’entreprise si ce n’était le fait que, dans la foulée, plusieurs failles de sécurité ont fait leur apparition, déclenchant un torrent de critiques et ont même fait réagir la justice américaine qui aurait demande des comptes à l'application après le signalement de plusieurs piratages. Le FBI a indiqué de son côté avoir reçu plusieurs signalements de téléconférences perturbées par des images pornographiques ou haineuses et du langage menaçant. Au Maroc, La Direction générale de la sécurité des systèmes d’information (DGSSI), relevant de l’Administration de la Défense nationale, a publié il y a deux jours une mise en garde contre une vulnérabilité «Zero day», une faille de sécurité permettant à un attaquant de voler les informations d'identification et d’authentification de Windows à l’aide d’un lien malveillant envoyé à l’utilisateur de Zoom.

Selon Eric S. Yuan, fondateur et CEO de Zoom, l’application aurait été victime de son succès. La compagnie basée dans la Silicon Valley était loin de se douter qu’elle surpasserait ses estimations les plus optimistes en si peu de temps. «Vers la fin du mois de décembre dernier, le nombre maximum de participants aux réunions quotidiennes, gratuites et payantes, menées sur Zoom était d'environ 10 millions. En mars de cette année, nous avons atteint plus de 200 millions de participants. Nous avons travaillé 24 heures sur 24 pour garantir que tous nos utilisateurs - nouveaux et anciens, grands et petits - puissent rester en contact et opérationnels», a-t-il souligné dans une lettre ouverte adressée aux utilisateurs de Zoom.

Dans la même missive, le dirigeant informe les utilisateurs de Zoom que l’entreprise a pris depuis le 1er avril courant une série de mesures pour corriger les failles de sécurité signalées, à savoir :

  • La fonction de «suivi de l'attention» des participants a été définitivement supprimée.
  • Les deux failles liées à Mac, signalées par Patrick Wardle, ont été corrigées. Cet ex-hacker de la NSA avait en effet montré qu’il était possible d’attaquer un Mac à distance et de le contrôler totalement, en particulier la webcam, le micro et l'accès "root".
  • Un correctif pour le problème de liaison UNC a été publié. Cette faille a été relevée par le chercheur britannique en sécurité, Matthew Hickey, qui a découvert que les attaquants peuvent utiliser la fonctionnalité de discussion de groupe du client Zoom Windows pour partager des liens qui divulgueront les identifiants réseau Windows de toute personne qui cliquera dessus.
  •  L'application LinkedIn Sales Navigator a été définitivement supprimée. Cette fonctionnalité permettait d’obtenir les données LinkedIn des participants. Elle remplace les paramètres de confidentialité de façon à ce que même si l’utilisateur choisit de rejoindre une réunion avec un surnom ou avec le drapeau anonyme activé, LinkedIn Sales Navigator obtient les vraies données LinkedIn et les fournit à l’organisateur.

Pour mieux rassurer les utilisateurs, Eric S. Yuan a indiqué que l’entreprise s’engagera durant les 3 prochains mois à consacrer les ressources nécessaires pour mieux identifier et résoudre les problèmes de manière proactive. «Nous nous engageons également à être transparents tout au long de ce processus. Nous voulons faire ce qu'il faut pour maintenir votre confiance», a-t-il déclaré.

Dans ce cadre de cet engagement, la compagnie annonce qu’elle procédera au gel immédiat des fonctionnalités et consacrera toutes ses ressources d'ingénierie à la résolution des plus grands problèmes liés à la confiance, la sécurité et la confidentialité.

Elle annonce également qu'un examen complet sera réalisé avec le concours d’experts externes et d’un échantillon représentatif d’utilisateurs afin de cerner les faiblesses et faire en sorte de les corriger afin de garantir la sécurité dans ce contexte d'utilisation grand public.

Zoom s’engage en outre à élaborer un rapport de transparence qui détaille les informations relatives aux demandes de données, d'enregistrements ou de contenu, mais aussi à améliorer son programme actuel de prime de bogues.

Par ailleurs, Eric S. Yuan a fait part de son intention de mettre en place un conseil RSSI (Responsable Sécurité des Systèmes d'Information) en partenariat avec les principaux responsables de l'industrie, et ce afin d’installer un dialogue continu sur les meilleures pratiques en matière de sécurité et de confidentialité. Et pour identifier et résoudre les problèmes, il annonce aussi le prochain lancement d’une série de tests d'intrusion en boîte blanche. Cette méthode permettra l’évaluation de la sécurité de l’application à travers l’examen de son fonctionnement, sa structure interne et ses processus.

En attendant la mise en œuvre de ces engagements, la compagnie veut maintenir les canaux de communication ouverts et tenir informés ses utilisateurs en toute transparence. «La transparence a toujours été au cœur de notre culture. Je m'engage à être ouvert et honnête avec vous sur les domaines dans lesquels nous renforçons notre plateforme et les domaines dans lesquels les utilisateurs peuvent prendre leurs propres mesures pour utiliser au mieux et se protéger sur la plateforme», affirme Eric S. Yuan dans sa missive.

Copyright Groupe le Matin © 2024