{"id":15162,"date":"2020-06-26T07:23:27","date_gmt":"2020-06-26T07:23:27","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=15162"},"modified":"2020-06-26T07:23:27","modified_gmt":"2020-06-26T07:23:27","slug":"zoom-5-security","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/zoom-5-security\/15162\/","title":{"rendered":"Zoom 5 va dans le sens de la s\u00e9curit\u00e9"},"content":{"rendered":"

Nous vous avons r\u00e9cemment expliqu\u00e9 comment configurer Zoom<\/a> pour plus de s\u00e9curit\u00e9. Il s\u2019av\u00e8re toutefois que les technologies \u00e9voluent tr\u00e8s rapidement, surtout lorsqu\u2019elles sont dans la ligne de mire. C\u2019est ce qui s\u2019est pass\u00e9 avec Zoom puisque ses d\u00e9veloppeurs ont, comme promis<\/a>, modifi\u00e9 la protection des donn\u00e9es de l\u2019application. Par cons\u00e9quent, la version 5.0<\/a> est tr\u00e8s diff\u00e9rente du service Zoom que nous avons connu avant le coronavirus.<\/p>\n

Ce changement en mati\u00e8re de s\u00e9curit\u00e9 a rapidement port\u00e9 ses fruits. Avant, les grandes entreprises et organisations faisaient la fine bouche devant Zoom, mais ce service a d\u00e9sormais la b\u00e9n\u00e9diction du\u00a0procureur g\u00e9n\u00e9ral\u00a0de l\u2019\u00c9tat de\u00a0New York<\/a> et est \u00e0 nouveau utilis\u00e9 dans les \u00e9coles de New York. La version 5 apporte \u00e9galement des fonctions utiles.<\/p>\n\n

Param\u00e8tres de s\u00e9curit\u00e9 bien situ\u00e9s<\/h2>\n

Lorsque vous lancez Zoom 5, tous les param\u00e8tres permettant de g\u00e9rer les participants \u00e0 une conf\u00e9rence se trouvent au m\u00eame endroit. La s\u00e9curit\u00e9 ne l\u2019emporte pas sur la commodit\u00e9.<\/p>\n

Depuis cette section, vous pouvez restreindre les droits utilisateur, bloquer l\u2019acc\u00e8s aux r\u00e9unions pour \u00e9viter les invit\u00e9s surprises, activer le filigrane pour superposer l\u2019image aux captures d\u2019\u00e9cran et aux enregistrements audio au cas o\u00f9 quelqu\u2019un envisagerait de les publier, etc. Cliquez sur l\u2019ic\u00f4ne S\u00e9curit\u00e9 (bouclier) dans la barre de menu de la r\u00e9union pour ouvrir les param\u00e8tres de s\u00e9curit\u00e9.<\/p>\n

Protection anti-troll<\/h2>\n

De nouveaux param\u00e8tres servent \u00e0 bloquer l\u2019invasion de trolls anonymes. Tout d\u2019abord, les mots de passe et la fonction salle d\u2019attente (l\u2019h\u00f4te doit donner son autorisation pour que le participant puisse rejoindre la r\u00e9union) sont d\u00e9sormais activ\u00e9s par d\u00e9faut. Ensuite, vous pouvez emp\u00eacher les participants de modifier eux-m\u00eames leur nom.<\/p>\n

Les titulaire d\u2019un compte payant peuvent \u00e9galement demander aux membres de fournir des informations \u00e0 leur sujet\u00a0: nom, adresse e-mail, etc. Le compte professionnel vous permet de bloquer les utilisateurs non autoris\u00e9s ou ceux dont l\u2019adresse e-mail appartiennent \u00e0 un certain domaine (par exemple, un domaine public au lieu d\u2019une adresse professionnelle).<\/p>\n

Acheminement des donn\u00e9es<\/h2>\n

Zoom a aussi modifi\u00e9 son approche de l\u2019acheminement des donn\u00e9es. Votre appel vid\u00e9o ne sera plus envoy\u00e9 par erreur vers un serveur chinois ou \u00e9tranger. Si, pour quelle que raison que soit, la conversation doit demeurer dans le pays d\u2019origine, alors inutile de vous inqui\u00e9ter\u00a0: les r\u00e9unions gratuites restent dans votre r\u00e9gion et les titulaires d\u2019un compte payant peuvent, depuis le 18 avril , choisir<\/a> par quels pays passent leurs donn\u00e9es.<\/p>\n

De plus, tous les participants aux r\u00e9unions peuvent savoir \u00e0 quel centre de donn\u00e9es ils sont connect\u00e9s en cliquant sur l\u2019ic\u00f4ne \u00ab\u00a0i\u00a0\u00bb qui se trouve en haut \u00e0 gauche. Vous pouvez donc voir si vos donn\u00e9es sont achemin\u00e9es ailleurs et vous plaindre aupr\u00e8s du d\u00e9veloppeur.<\/p>\n

S\u00e9curit\u00e9 du partage d\u2019\u00e9cran<\/h2>\n

Avec l\u2019ancien Zoom, les notifications de messages dans le chat contenaient un aper\u00e7u. Cela pouvait donner lieu \u00e0 des situations plut\u00f4t embarrassantes si, par exemple, quelqu\u2019un vous envoyait un message personnel pendant que vous partagiez votre \u00e9cran. S\u2019il s\u2019agit d\u2019une r\u00e9union gratuite et que vous partagez votre \u00e9cran, le service n\u2019affiche pas les notifications et les messages du chat, et ce m\u00eame s\u2019il est ouvert.<\/p>\n

Chiffrement mis \u00e0 jour<\/h2>\n

Les d\u00e9veloppeurs ont aussi mis \u00e0 jour l\u2019algorithme de chiffrement. Zoom utilise d\u00e9sormais des cl\u00e9s de chiffrement plus longues (et donc plus fiables). Ensuite, le service v\u00e9rifie l\u2019int\u00e9grit\u00e9 des donn\u00e9es transmises\u00a0: une mesure de protection contre les intrus qui pourraient corrompre ou modifier un message crypt\u00e9 sans le d\u00e9chiffrer.<\/p>\n

Si vous aimez conna\u00eetre ce genre de d\u00e9tails \u00e9sot\u00e9riques (comme tout le monde, n\u2019est-ce pas\u00a0?) vous serez ravi d\u2019apprendre que le Galois\/Counter Mode<\/a> s\u2019occupe de v\u00e9rifier l\u2019int\u00e9grit\u00e9<\/a>. En plus d\u2019offrir une meilleure s\u00e9curit\u00e9, on consid\u00e8re que le GCM utilise moins de ressources ce qui permet de profiter d\u2019un meilleur chiffrement sans pour autant perdre en puissance.<\/p>\n\n

Chiffrement de bout en bout<\/h2>\n

Enfin, les utilisateurs pourront tr\u00e8s bient\u00f4t communiquer sans que personne (\u00e9trangers ou employ\u00e9s de Zoom) ne puisse \u00e9couter aux portes. Le service envisage d\u2019ajouter le chiffrement de bout en bout aux appels vid\u00e9o, raison pour laquelle il a m\u00eame acquis Keybase<\/a>, une entreprise sp\u00e9cialis\u00e9e dans la protection des messageries et applications pour \u00e9changer les donn\u00e9es en toute s\u00e9curit\u00e9.<\/p>\n

Zoom a d\u2019abord envisag\u00e9 la possibilit\u00e9 de r\u00e9server ce niveau maximum de confidentialit\u00e9 qu\u2019aux titulaires d\u2019un compte payant. Les critiques ont \u00e9t\u00e9 nombreuses lorsqu\u2019il a \u00e9t\u00e9 connu que Zoom ne pensait pas proposer le chiffrement de bout en bout aux utilisateurs gratuits. Zoom a \u00e9t\u00e9 accus\u00e9 de travailler avec les services de renseignements<\/a>, ou du moins de leur laisser le champ libre.<\/p>\n

Ces accusations ignorent d\u00e9lib\u00e9r\u00e9ment un point important\u00a0: pratiquement aucun concurrent de Zoom ne propose l\u2019E2EE<\/a>. Les appels vid\u00e9o chiffr\u00e9s de bout en bout ne sont disponibles que dans deux cas\u00a0: les applications de messagerie instantan\u00e9e ayant une capacit\u00e9 d\u2019appel vid\u00e9o limit\u00e9e, ou les outils co\u00fbteux destin\u00e9s aux entreprises. Dans ce dernier cas, ce service est propos\u00e9 sur demande et est donc payant.<\/p>\n

Les d\u00e9veloppeurs ont de bonnes raisons de ne pas vouloir utiliser le chiffrement de bout en bout pour la vid\u00e9o, puisque ce syst\u00e8me est incompatible avec de nombreuses fonctions particuli\u00e8rement utiles<\/a>, comme la possibilit\u00e9 d\u2019enregistrer les r\u00e9unions sur le Cloud, de les diffuser sur YouTube ou de rejoindre une r\u00e9union par t\u00e9l\u00e9phone. En d\u2019autres termes, n\u2019importe quelle action qui doit \u00eatre g\u00e9r\u00e9e par un serveur. Si l\u2019on prend en compte la commodit\u00e9, la plupart des utilisateurs s\u2019en porte mieux.<\/p>\n

Cela \u00e9tant dit, Zoom a annonc\u00e9 le 17 juin<\/a> que tous les utilisateurs profiteraient du chiffrement de bout en bout, y compris ceux qui s\u2019en servent gratuitement. Il est \u00e9vident que cela ne va pas se faire du jour au lendemain, mais l\u2019entreprise envisage de faire les premiers tests b\u00eata en juillet.<\/p>\n

Ne baissez pas la garde<\/h2>\n

Dans l\u2019ensemble, Zoom 5 est beaucoup plus s\u00fbr que les versions pr\u00e9c\u00e9dentes. Les d\u00e9veloppeurs ont abord\u00e9 le probl\u00e8me de la s\u00e9curit\u00e9 de fa\u00e7on tr\u00e8s responsable et ont rapidement r\u00e9solu la plupart des probl\u00e8mes qui sont apparus pendant le confinement.<\/p>\n

Vous devez tout de m\u00eame rester attentif. Votre r\u00e9union est-elle publique ou priv\u00e9e\u00a0? Est-il possible de l\u2019enregistrer\u00a0? Les d\u00e9veloppeurs ne peuvent pas r\u00e9pondre \u00e0 toutes ces questions et \u00e0 bien d\u2019autres. Vous devez configurer les appels en visioconf\u00e9rence selon vos besoins et votre mat\u00e9riel. Heureusement, Zoom offre d\u00e9sormais plus de param\u00e8tres pour vous aider \u00e0 le faire correctement.<\/p>\n

Il convient \u00e9galement de souligner que la s\u00e9curit\u00e9 absolue n\u2019existe pas. Par exemple, deux vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9tect\u00e9es<\/a> dans la version relativement r\u00e9cente de Zoom 4.6.10. La premi\u00e8re autorisait un message malveillant envoy\u00e9 dans le chat d\u2019ex\u00e9cuter un code arbitraire sur le serveur de Zoom. \u00a0Ce bug a \u00e9t\u00e9 corrig\u00e9 avant le lancement de la version 5.<\/p>\n

Quant \u00e0 l\u2019autre vuln\u00e9rabilit\u00e9, elle \u00e9tait li\u00e9e \u00e0 l\u2019int\u00e9gration du r\u00e9pertoire de GIF en ligne, GIPHY, dans le chat. Le bug lan\u00e7ait le t\u00e9l\u00e9chargement de fichiers arbitraires, au lieu d\u2019images anim\u00e9es, sur les ordinateurs des participants \u00e0 la r\u00e9union. Les d\u00e9veloppeurs ont temporairement d\u00e9sactiv\u00e9 la fonction vuln\u00e9rable<\/a> et ont promis qu\u2019elle serait \u00e0 nouveau disponible d\u00e8s que le probl\u00e8me serait r\u00e9solu.<\/p>\n

Pour le moment, rien de terrifiant n\u2019a \u00e9t\u00e9 d\u00e9tect\u00e9 dans Zoom 5, mais cela ne signifie pas pour autant que tout va bien. Tant que le service sera aussi c\u00e9l\u00e8bre, certains essaieront toujours de trouver ses points sensibles. Par cons\u00e9quent, si vous utilisez Zoom, soyez attentif aux mises \u00e0 jour et installez-les imm\u00e9diatement.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Les d\u00e9veloppeurs de Zoom ont rendu leur service plus s\u00fbr. Nous analysons les modifications apport\u00e9es.<\/p>\n","protected":false},"author":2581,"featured_media":15163,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1869,1868],"tags":[316,3942,180,61,3943,1024,3883],"class_list":{"0":"post-15162","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-technology","8":"category-privacy","9":"tag-chiffrement","10":"tag-chiffrement-de-bout-en-bout","11":"tag-confidentialite","12":"tag-securite","13":"tag-telecommunications","14":"tag-teletravail","15":"tag-zoom"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/zoom-5-security\/15162\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/zoom-5-security\/21479\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/zoom-5-security\/16948\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/zoom-5-security\/8397\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/zoom-5-security\/22667\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/zoom-5-security\/20770\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/zoom-5-security\/19150\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/zoom-5-security\/23025\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/zoom-5-security\/22074\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/zoom-5-security\/28638\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/zoom-5-security\/36001\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/zoom-5-security\/15661\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/zoom-5-security\/13620\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/zoom-5-security\/24340\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/zoom-5-security\/28741\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/zoom-5-security\/25610\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/zoom-5-security\/22523\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/zoom-5-security\/27762\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/zoom-5-security\/27603\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/teletravail\/","name":"t\u00e9l\u00e9travail"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/15162","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=15162"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/15162\/revisions"}],"predecessor-version":[{"id":15165,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/15162\/revisions\/15165"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/15163"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=15162"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=15162"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=15162"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}