La popularité de Zoom entachée par ses failles

Suite à la pandémie COVID-19, un grand nombre de solutions de conférences vidéo par le Web ont été déployées.

Cette pratique n’est pas nouvelle, mais la soudaineté du confinement à favorisé l’usage massif de solutions telles que Zoom, dont il a été beaucoup été question ces dernières semaines.

Zoom est ainsi devenu la solution de choix pour les vidéos conférences : le nombre de participants aux réunions quotidiennes sur la plateforme est passé de 10 millions en décembre 2019 à 200 millions en Mars de cette année.

En parallèle de cette popularité, les risques d’atteinte à la vie privée se sont rapidement multipliés. C’est le cas par exemple des pratiques appelées « Zoombombing » dans lesquelles des participants non invités entrent par effraction dans des réunions et les perturbent avec des contenus haineux et/ou pornographiques.

D’autres problématiques ont attiré l’attention des médias. La liste ci-dessous répertorie de manière non exhaustive les événements qui se produits en rapports avec Zoom.

13 Avril 2020 : 

500 000 comptes Zoom vendus sur des forums de pirates

La société de renseignement sur la cybersécurité Cyble a découvert que plus de 500 000 comptes Zoom sont vendus sur le web noir et les forums de piratage, selon un rapport de Bleeping Computer publié lundi. Les comptes sont vendus pour moins d’un centime chacun, certains étant offerts gratuitement. Il est conseillé aux utilisateurs de Zoom de changer leurs mots de passe et de consulter le site de notification des violations de données, Have I Been Pwned, afin de déterminer si leurs adresses électroniques figurent parmi celles qui ont été divulguées lors de l’attaque.

9 avril 2020 :

Le Sénat américain a demandé à ses membres d’éviter d’utiliser Zoom pour le travail à distance pendant le verrouillage du coronavirus en raison des problèmes de sécurité entourant l’application de vidéoconférence, a rapporté le Financial Times jeudi. Il ne s’agirait pas d’une interdiction officielle, comme celle imposée par Google à ses employés, mais les sénateurs ont apparemment été invités à utiliser une autre plateforme.

Les enseignants de Singapour interdits de Zoom

Le ministère de l’éducation de Singapour a déclaré qu’il avait suspendu l’utilisation de Zoom par les enseignants après avoir reçu des rapports d’incidents obscènes de zoombombie visant des élèves apprenant à distance. Channel News Asia a indiqué que le ministère enquêtait actuellement sur ces incidents.

Le gouvernement allemand met en garde contre l’utilisation de Zoom

Selon le journal allemand Handelsblatt, le ministère allemand des affaires étrangères a demandé cette semaine à ses employés, dans une circulaire, d’arrêter d’utiliser Zoom pour des raisons de sécurité. “En raison des risques associés pour l’ensemble de notre système informatique, nous avons, comme d’autres ministères et entreprises industrielles, également décidé pour le (ministère fédéral des affaires étrangères) de ne pas autoriser l’utilisation de Zoom sur les appareils utilisés à des fins professionnelles”, a déclaré le ministère dans une déclaration.

8 Avril 2020 :

Quatrième procès

Dans un procès intenté mardi au tribunal fédéral, Michael Drieu, actionnaire de Zoom, a accusé la société d’avoir “des mesures inadéquates de confidentialité et de sécurité des données” et d’avoir affirmé à tort que le service était crypté de bout en bout.

Drieu a également déclaré que les rapports des médias et les admissions publiques de la société sur les problèmes de sécurité ont fait chuter le cours de l’action de Zoom.

Google interdit Zoom

Dans un courriel adressé aux employés, qui citait des failles de sécurité, Google a interdit l’utilisation de Zoom sur les appareils des employés de l’entreprise et a averti que le logiciel cesserait de fonctionner sur ces appareils cette semaine. Il faut préciser que Zoom est un concurrent de l’application Hangout Meet de Google.

Dans un e-mail adressé à BuzzFeed, un porte-parole de Google a déclaré que les employés utilisant Zoom lorsqu’ils travaillent à distance devraient chercher ailleurs et que Zoom “ne répond pas à nos normes de sécurité pour les applications utilisées par nos employés”.

7 Avril 2020 :

Taiwan interdit l’utilisation de Zoom par le gouvernement

Les agences gouvernementales de Taiwan ont été informées de ne pas utiliser Zoom pour des raisons de sécurité, le département de la cybersécurité de Taiwan autorisant l’utilisation d’alternatives telles que les produits de Google et de Microsoft, selon un communiqué publié mardi.

6 Avril 2020 :

Le ministère de la sécurité informatique de Taïwan a autorisé l’utilisation d’alternatives telles que les produits de Google et de Microsoft, selon une déclaration publiée mardi.

Certains districts scolaires interdisent Zoom

Les districts scolaires ont commencé à interdire aux enseignants d’utiliser Zoom pour enseigner à distance en plein milieu de l’épidémie de coronavirus, en invoquant des problèmes de sécurité et de confidentialité liés à l’application de vidéoconférence. Le département de l’éducation de New York a exhorté les écoles à passer à Microsoft Teams “dès que possible”, a rapporté M. Chalkbeat.

Des comptes Zoom en vente sur le « Darknet »

La société de cybersécurité Sixgill a révélé qu’elle avait découvert un lien vers une collection de 352 comptes Zoom compromis. Sixgill a déclaré à Yahoo Finance que ces liens comprenaient des adresses e-mail, des mots de passe, des identifiants de réunion, des clés et des noms d’hôtes, et le type de compte Zoom.

4 Avril 2020 :

Une autre excuse de Zoom

“J’ai vraiment foiré en tant que PDG, et nous devons regagner leur confiance. Ce genre de chose n’aurait pas dû arriver”, a déclaré le PDG de Zoom, Eric Yuan, au Wall Street Journal dans une longue interview.  Étudiant les dommages causés à la réputation de l’entreprise, M. Yuan a décrit comment Zoom a poussé à l’expansion afin de s’adapter aux changements de personnel au cours des premières étapes de l’épidémie de COVID-19 en Chine.

 

3 avril 2020 :

Des enregistrements d’appels vidéo Zoom laissés visibles sur le web

Une enquête du Washington Post a révélé que des milliers d’enregistrements d’appels vidéo de Zoom étaient laissés sans protection et pouvaient être visionnés sur le web. Un grand nombre de ces appels non protégés comprenaient des discussions sur des informations personnelles identifiables, telles que des séances de thérapie privées, des appels de formation à la télésanté, des réunions de petites entreprises où l’on discutait des états financiers de sociétés privées, et des cours d’école primaire où les informations sur les élèves étaient exposées, a constaté le journal.

Attaquants planifiant des « Zoomraids »

Des reportages de CNET et du New York Times ont révélé que les plateformes de médias sociaux, dont Twitter et Instagram, étaient utilisées par des attaquants anonymes comme espaces pour organiser des « Zoomraids ».

Les abus signalés à cette occasion incluaient l’utilisation d’images racistes, antisémites et pornographiques, ainsi que le harcèlement verbal.

Zoom s’excuse, encore une fois

Zoom a reconnu que son cryptage personnalisé était inférieur aux normes après qu’un rapport du Citizen Lab a révélé que la société avait mis en place son propre système de chiffrement, utilisant une clé AES-128 moins sûre au lieu du cryptage AES-256 qu’elle prétendait utiliser auparavant.

Dans une réponse directe, Yuan a déclaré publiquement : « nous reconnaissons que nous pouvons faire mieux avec notre conception du chiffrement ».

2 Avril 2020 :

un outil automatisé permettant de trouver les réunions Zoom

Les chercheurs en sécurité ont révélé qu’un outil automatisé était capable de trouver une centaine d’identifiants de réunions Zoom en une heure, rassemblant des informations pour près de 2 400 réunions Zoom en une seule journée de scan, comme l’a rapporté le journaliste expert en cybersécurité, Brian Krebs.

30 Mars 2020 :

L’enquête de « The Intercept » : Zoom n’utilise pas le chiffrement de bout en bout comme promis

Une enquête menée par The Intercept a révélé que les données d’appel de Zoom étaient renvoyées à la société sans le chiffrement de bout en bout promis dans ses documents marketing.

“Actuellement, il n’est pas possible d’activer le cryptage E2E (de bout en bout) pour les réunions vidéos de Zoom”, a déclaré un porte-parole de Zoom à The Intercept.

D’autres bugs découverts

Après la découverte d’un bug de Zoom lié à Windows qui ouvrait la porte au vol de mots de passe, deux autres bugs ont été découverts par un ancien hacker de la NSA, dont l’un pourrait permettre à des acteurs malveillants de prendre le contrôle du microphone ou de la webcam d’un utilisateur de Zoom. Une autre de ces vulnérabilités permettait à Zoom d’accéder à la racine des ordinateurs de bureau MacOS, un niveau d’accès au mieux risqué.

27 Mars 2020

Zoom supprime la fonction de collecte de données de Facebook

En réponse aux inquiétudes soulevées par une enquête, Zoom a supprimé la fonction de collecte de données Facebook de son application iOS et s’est excusé dans une déclaration.

26 Mars 2020 :

L’application Zoom iOS envoie les données des utilisateurs à Facebook

Une enquête menée par Motherboard a révélé que l’application iOS de Zoom envoyait des données d’analyse des utilisateurs à Facebook, même pour les utilisateurs de Zoom qui n’avaient pas de compte Facebook, via l’interaction de l’application avec l’API graphique de Facebook.


Même si certains spécialistes, tels que Bruce Schneier recommandent de ne pas utiliser Zoom du tout, il est possible de mitiger certains aspects notamment en mettant en œuvre les préconisations ci-dessous :

  • Ne pas utiliser votre identifiant personnel pour la réunion, mais plutôt un identifiant unique, exclusif à une seule réunion. La page d’assistance de Zoom propose une aide pour générer un identifiant de réunion vraiment aléatoire.
  • Activer la fonction « Salle d’attente » afin de pouvoir voir qui tente de rejoindre la réunion avant de permettre de lui accéder. Cela rajoutera un obstacle pour les perturbateurs potentiels.
  • Désactiver l’ensemble des autres options, en particulier la possibilité pour les autres personnes de se joindre à une réunion avant l’hôte, le partage d’écran pour les utilisateurs autres que les hôtes, ainsi que la fonction de contrôle à distance, les transferts de fichiers, les annotations et la fonction de sauvegarde automatique des « chats ».
  • Une fois que la réunion est commencée, verrouiller la réunion aux personnes extérieures et attribuer au moins 2 co-animateurs de la réunion, qui pourront contrôler la situation au cas où un intrus perturberait la réunion.

Conclusion.

Il existe un très grand nombre de solutions de vidéoconférence, dont certaines orientées spécifiquement vers le marché professionnel et qui font de la sécurité des données et des flux l’un de leurs arguments principaux.

Pour les cas de vidéocommunication vraiment confidentiels à l’intérieur de l’entreprise, des produits open source tels que Jitsi permettent de déployer une solution en interne (« on premise »). Le code source est auditable. Il est ainsi possible d’établir une communication sans interférence tierce.


Sources :

– https://www.cnet.com/news/prevent-zoombombing-change-these-4-zoom-settings-now-for-secure-video-chat/

– https://citizenlab.ca/2020/04/faq-on-zoom-security-issues/

– https://korben.info/jitsi-la-videoconference-open-source-et-multiplateformes.html