télétravail

Zoom 5 va dans le sens de la sécurité

Les développeurs de Zoom ont rendu leur service plus sûr. Nous analysons les modifications apportées.

Hugh Aver
26 Juin 2020

Nous vous avons récemment expliqué comment configurer Zoom pour plus de sécurité. Il s’avère toutefois que les technologies évoluent très rapidement, surtout lorsqu’elles sont dans la ligne de mire. C’est ce qui s’est passé avec Zoom puisque ses développeurs ont, comme promis, modifié la protection des données de l’application. Par conséquent, la version 5.0 est très différente du service Zoom que nous avons connu avant le coronavirus.

Ce changement en matière de sécurité a rapidement porté ses fruits. Avant, les grandes entreprises et organisations faisaient la fine bouche devant Zoom, mais ce service a désormais la bénédiction du procureur général de l’État de New York et est à nouveau utilisé dans les écoles de New York. La version 5 apporte également des fonctions utiles.

Paramètres de sécurité bien situés

Lorsque vous lancez Zoom 5, tous les paramètres permettant de gérer les participants à une conférence se trouvent au même endroit. La sécurité ne l’emporte pas sur la commodité.

Depuis cette section, vous pouvez restreindre les droits utilisateur, bloquer l’accès aux réunions pour éviter les invités surprises, activer le filigrane pour superposer l’image aux captures d’écran et aux enregistrements audio au cas où quelqu’un envisagerait de les publier, etc. Cliquez sur l’icône Sécurité (bouclier) dans la barre de menu de la réunion pour ouvrir les paramètres de sécurité.

Protection anti-troll

De nouveaux paramètres servent à bloquer l’invasion de trolls anonymes. Tout d’abord, les mots de passe et la fonction salle d’attente (l’hôte doit donner son autorisation pour que le participant puisse rejoindre la réunion) sont désormais activés par défaut. Ensuite, vous pouvez empêcher les participants de modifier eux-mêmes leur nom.

Les titulaire d’un compte payant peuvent également demander aux membres de fournir des informations à leur sujet : nom, adresse e-mail, etc. Le compte professionnel vous permet de bloquer les utilisateurs non autorisés ou ceux dont l’adresse e-mail appartiennent à un certain domaine (par exemple, un domaine public au lieu d’une adresse professionnelle).

Acheminement des données

Zoom a aussi modifié son approche de l’acheminement des données. Votre appel vidéo ne sera plus envoyé par erreur vers un serveur chinois ou étranger. Si, pour quelle que raison que soit, la conversation doit demeurer dans le pays d’origine, alors inutile de vous inquiéter : les réunions gratuites restent dans votre région et les titulaires d’un compte payant peuvent, depuis le 18 avril , choisir par quels pays passent leurs données.

De plus, tous les participants aux réunions peuvent savoir à quel centre de données ils sont connectés en cliquant sur l’icône « i » qui se trouve en haut à gauche. Vous pouvez donc voir si vos données sont acheminées ailleurs et vous plaindre auprès du développeur.

Sécurité du partage d’écran

Avec l’ancien Zoom, les notifications de messages dans le chat contenaient un aperçu. Cela pouvait donner lieu à des situations plutôt embarrassantes si, par exemple, quelqu’un vous envoyait un message personnel pendant que vous partagiez votre écran. S’il s’agit d’une réunion gratuite et que vous partagez votre écran, le service n’affiche pas les notifications et les messages du chat, et ce même s’il est ouvert.

Chiffrement mis à jour

Les développeurs ont aussi mis à jour l’algorithme de chiffrement. Zoom utilise désormais des clés de chiffrement plus longues (et donc plus fiables). Ensuite, le service vérifie l’intégrité des données transmises : une mesure de protection contre les intrus qui pourraient corrompre ou modifier un message crypté sans le déchiffrer.

Si vous aimez connaître ce genre de détails ésotériques (comme tout le monde, n’est-ce pas ?) vous serez ravi d’apprendre que le Galois/Counter Mode s’occupe de vérifier l’intégrité. En plus d’offrir une meilleure sécurité, on considère que le GCM utilise moins de ressources ce qui permet de profiter d’un meilleur chiffrement sans pour autant perdre en puissance.

Chiffrement de bout en bout

Enfin, les utilisateurs pourront très bientôt communiquer sans que personne (étrangers ou employés de Zoom) ne puisse écouter aux portes. Le service envisage d’ajouter le chiffrement de bout en bout aux appels vidéo, raison pour laquelle il a même acquis Keybase, une entreprise spécialisée dans la protection des messageries et applications pour échanger les données en toute sécurité.

Zoom a d’abord envisagé la possibilité de réserver ce niveau maximum de confidentialité qu’aux titulaires d’un compte payant. Les critiques ont été nombreuses lorsqu’il a été connu que Zoom ne pensait pas proposer le chiffrement de bout en bout aux utilisateurs gratuits. Zoom a été accusé de travailler avec les services de renseignements, ou du moins de leur laisser le champ libre.

Ces accusations ignorent délibérément un point important : pratiquement aucun concurrent de Zoom ne propose l’E2EE. Les appels vidéo chiffrés de bout en bout ne sont disponibles que dans deux cas : les applications de messagerie instantanée ayant une capacité d’appel vidéo limitée, ou les outils coûteux destinés aux entreprises. Dans ce dernier cas, ce service est proposé sur demande et est donc payant.

Les développeurs ont de bonnes raisons de ne pas vouloir utiliser le chiffrement de bout en bout pour la vidéo, puisque ce système est incompatible avec de nombreuses fonctions particulièrement utiles, comme la possibilité d’enregistrer les réunions sur le Cloud, de les diffuser sur YouTube ou de rejoindre une réunion par téléphone. En d’autres termes, n’importe quelle action qui doit être gérée par un serveur. Si l’on prend en compte la commodité, la plupart des utilisateurs s’en porte mieux.

Cela étant dit, Zoom a annoncé le 17 juin que tous les utilisateurs profiteraient du chiffrement de bout en bout, y compris ceux qui s’en servent gratuitement. Il est évident que cela ne va pas se faire du jour au lendemain, mais l’entreprise envisage de faire les premiers tests bêta en juillet.

Ne baissez pas la garde

Dans l’ensemble, Zoom 5 est beaucoup plus sûr que les versions précédentes. Les développeurs ont abordé le problème de la sécurité de façon très responsable et ont rapidement résolu la plupart des problèmes qui sont apparus pendant le confinement.

Vous devez tout de même rester attentif. Votre réunion est-elle publique ou privée ? Est-il possible de l’enregistrer ? Les développeurs ne peuvent pas répondre à toutes ces questions et à bien d’autres. Vous devez configurer les appels en visioconférence selon vos besoins et votre matériel. Heureusement, Zoom offre désormais plus de paramètres pour vous aider à le faire correctement.

Il convient également de souligner que la sécurité absolue n’existe pas. Par exemple, deux vulnérabilités ont été détectées dans la version relativement récente de Zoom 4.6.10. La première autorisait un message malveillant envoyé dans le chat d’exécuter un code arbitraire sur le serveur de Zoom. Ce bug a été corrigé avant le lancement de la version 5.

Quant à l’autre vulnérabilité, elle était liée à l’intégration du répertoire de GIF en ligne, GIPHY, dans le chat. Le bug lançait le téléchargement de fichiers arbitraires, au lieu d’images animées, sur les ordinateurs des participants à la réunion. Les développeurs ont temporairement désactivé la fonction vulnérable et ont promis qu’elle serait à nouveau disponible dès que le problème serait résolu.

Pour le moment, rien de terrifiant n’a été détecté dans Zoom 5, mais cela ne signifie pas pour autant que tout va bien. Tant que le service sera aussi célèbre, certains essaieront toujours de trouver ses points sensibles. Par conséquent, si vous utilisez Zoom, soyez attentif aux mises à jour et installez-les immédiatement.

Google Analytics comme méthode d’exfiltration des données

Nos experts ont découvert une méthode qui permet d’extraire les données du titulaire de la carte bleue grâce aux outils Google.

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Comment distinguer une photo ou vidéo réelle d’un trucage et retracer sa provenance.

Passer à Kaspersky : guide de migration pas à pas

Comment faire passer la cyberprotection de votre ordinateur ou de votre smartphone à la solution de sécurité la plus primée de Kaspersky ?

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Vous avez reçu un message inattendu de la part de votre patron ou d’un collègue qui vous demande de « régler un problème » ? Attention aux escrocs ! Comment pouvez-vous vous protéger, vous et votre entreprise, contre une attaque potentielle ?

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.

Protection des enfants

Zoom 5 va dans le sens de la sécurité

Paramètres de sécurité bien situés

Protection anti-troll

Acheminement des données

Sécurité du partage d’écran

Chiffrement mis à jour

Chiffrement de bout en bout

Ne baissez pas la garde

5 solutions ergonomiques pour votre lieu de travail

Le travail dans un futur proche : point de vue des employés

Google Analytics comme méthode d’exfiltration des données

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Passer à Kaspersky : guide de migration pas à pas

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Assurer la sécurité du domicile

Abonnez-vous et recevez tous nos titres à la une par e-mail

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky