La célèbre société californienne Zoom Video Communications est sous le feu des critiques depuis quelques jours. Son service de communication à distance qui combine la vidéoconférence, les réunions en ligne, le chat et la collaboration mobile à l’aide d’applications propriétaires, comporterait divers problèmes de confidentialité et de sécurité. Nous avons mené l’enquête.
Après avoir signalé que l’application Zoom sur iOS envoyait des détails sur les utilisateurs à Facebook, même s’ils n’avaient pas de compte Facebook, la société a annoncé qu’elle avait supprimé le SDK Facebook de l’application.
Le SDK (software developpment kit, ou kit de développement logiciel) Facebook récolte des données statistiques de télémétrie, généralement pour analyser l’audience et les comportements sur les applications. Bien que ces informations puissent aider Facebook à déterminer le matériel sur lequel les applications sont installées et les écosystèmes logiciels utilisés, il est pour le moins étrange de voir le SDK renvoyer ces données pour les utilisateurs qui n’ont pas de compte Facebook ou qui n’ont pas choisi d’utiliser la fonctionnalité de connexion à Zoom par leur compte Facebook.
C’est une enquête du site Motherboard qui a révélé ce fait sur le SDK Facebook implémenté dans l’application de vidéoconférence Zoom. Il s’avère que les données analytiques ont été partagées avec Facebook lorsque les utilisateurs ont simplement ouvert l’application. Les informations renvoyées comprenaient des détails sur le fuseau horaire, l’heure d’ouverture de l’application, la langue par défaut, la version iOS, l’adresse IP, l’opérateur de téléphonie mobile et des informations matérielles sur l’appareil lui-même.
Zoom a implémenté le SDK Facebook pour permettre aux utilisateurs de se connecter en utilisant leurs données d’identification Facebook, mais après que l’enquête a révélé qu’il faisait bien plus que cela, l’équipe a décidé de le supprimer complètement.
“Nous avons été informés le mercredi 25 mars 2020 que le SDK Facebook collectait des informations inutiles au bon fonctionnement de nos services”, a déclaré Zoom dans un article de blog. “Les informations collectées par le SDK Facebook ne comprenaient pas d’informations et d’activités liées aux réunions telles que les participants, les noms, les notes, etc.”
Et d’ajouter :
“Nous avons décidé de supprimer le SDK Facebook de notre client iOS et avons reconfiguré la fonctionnalité afin que les utilisateurs puissent toujours se connecter avec Facebook via leur navigateur.”
Une mise à jour est depuis lors disponible pour l’application Zoom et les utilisateurs doivent l’installer dès que possible. Il est toujours possible de se connecter avec les informations d’identification Facebook, mais les nouveaux utilisateurs devront utiliser la version Web via le navigateur par défaut.
L’application Zoom semble être partout aujourd’hui, alors que les gens se connectent pour leurs cours, leurs activités, leurs réunions ou même un bon dîner en famille.
La crise sanitaire a poussé le corps enseignant à retrouver virtuellement leurs élèves, les cours en ligne faisant partie de leur quotidien depuis quelques semaines.
Le FBI prévient que les cybercriminels et les mauvais plaisantins ont également remarqué la popularité de Zoom et infiltrent désormais des conférences avec des images pornographiques et un vocabulaire agressif.
Fin mars, deux écoles du Massachusetts ont signalé de tels incidents à la division du FBI de Boston. Dans une plainte, on apprend qu’un individu a rejoint un cours en ligne pour collégiens et a commencé à utiliser un langage grossier, puis a diffusé l’adresse du domicile de l’enseignant.
Dans un deuxième rapport, un autre individu s’est montré devant la caméra et a exhibé ses tatouages de croix gammées au beau milieu d’une leçon virtuelle.
Et d’autres incidents circulent sur le web. De plus en plus d’inconnus non invités “se tapent l’incruste” dans des rassemblements en ligne à travers les États-Unis.
Il semble que les problèmes de confidentialité s’accumulent pour la célèbre plate-forme de vidéoconférence, après l’affaire du SDK Facebook un peu trop curieux.
Comment pouvez-vous sécuriser votre expérience sur Zoom ?
Pour éviter toute intrusion indésirable lors de votre réunion Zoom, il existe des paramétrages simples pour s’assurer qu’aucun étranger ne vous espionne :
• Verrouillez votre session Zoom – une fois que tous les participants ont rejoint la salle de classe ou la réunion, vous avez la possibilité de cliquer sur le bouton Verrouiller la réunion. Faites-le, afin que personne d’autre ne puisse entrer et perturber la session.
• Contrôle du partage d’écran – Zoom a récemment publié une mise à jour pour les paramètres de partage d’écran des comptes Education, qui est désormais défini par défaut sur «Hôte uniquement».
• Demandez l’inscription avant de commencer votre réunion ou classe – avec cette option, vous pouvez voir l’e-mail de toutes les personnes qui se sont inscrites à la session. Vous pouvez identifier vos participants plus facilement.
• Autoriser uniquement les utilisateurs authentifiés à rejoindre votre «groupe» – Par exemple, seuls les membres connectés à leur compte Zoom peuvent accéder à votre cours en ligne.
• Protégez la réunion par mot de passe – il est préférable de ne pas rendre votre réunion publique. Si vous choisissez de configurer un mot de passe, seules les personnes qui le connaissent peuvent s’inscrire.
• Ne partagez pas les liens de vidéoconférence publiquement – vous pouvez empêcher tout étranger de s’inviter dans votre réunion ou votre classe en ne publiant pas le lien sur des réseaux sociaux tels que Facebook ou Twitter.
N’oubliez pas que si votre salle de classe ou votre vidéoconférence est détournée, vous devez immédiatement signaler l’incident aux autorités compétentes et porter plainte.
Lorsque la pandémie mondiale du coronavirus a confiné des millions de personnes à la maison, Zoom a enregistré une augmentation du nombre d’utilisateurs. Comme prévu, les chercheurs en sécurité ont commencé à trouver des vulnérabilités, certaines plus dangereuses que d’autres.
Les deux vulnérabilités zero-day identifiées par Patrick Wardle de chez Jamf sont assez critiques, bien qu’elles nécessitent un accès physique à la machine. Le premier problème concernait Zoom à l’aide de l’API AuthorizationExecuteWithPrivileges obsolète qui permettait aux attaquants d’élever leurs droits root.
«Vous êtes-vous déjà demandé comment le programme d’installation de @zoom_usmacOS fait son travail sans que vous ayez jamais cliqué sur installer ? Il s’avère qu’ils utilisent des scripts de préinstallation, décompressent manuellement l’application à l’aide d’un 7zip fourni et l’installent dans /Applications si l’utilisateur actuel est dans le groupe admin (pas d’accès racine nécessaire) », a déclaré Felix Seele, responsable technique chez VMRay.
Zoom a utilisé cette méthode pour permettre l’installation de l’application même par des personnes qui n’en avaient pas le droit. Le problème, bien sûr, serait que le programme d’installation de Zoom soit utilisé comme une porte grand’ouverte aux logiciels malveillants.
En outre, les utilisateurs de Zoom seraient invités à indiquer que l’application a besoin d’accéder à la caméra et au microphone, ce qui est une bonne chose, mais l’application dispose d’une fonction qui permet aux attaquants potentiels d’utiliser cette invite de commande et d’accéder au microphone et à la caméra, leur permettant d’enregistrer des réunions.
Zoom vient de désactiver une fonctionnalité de son logiciel de conférence en ligne qui a permis à l’entreprise de collecter secrètement des données et de faire correspondre les informations avec des sources LinkedIn, permettant à des utilisateurs d’identifier les participants d’une conférence à leur insu.
À la suite d’une enquête du New York Times, Zoom a décidé de supprimer complètement son exploitation de données LinkedIn, invoquant des problèmes de confidentialité. Il s’avère que Zoom renvoyait des données sur les participants et utilisait ensuite LinkedIn pour faire y associer le profil des gens.
Quelqu’un dans la conférence en cours ayant un compte LinkedIn Sales Navigator pouvait accéder aux détails fournis par LinkedIn sans en informer les participants. L’enquête a également révélé que même les utilisateurs connectés en tant qu’Anonymes n’étaient pas à l’abri – la fonction d’exploration de données fonctionnait tout aussi bien.
Pire, le client Zoom enverrait automatiquement des informations personnelles aux serveurs même si personne dans la réunion n’avait activé l’option. L’entreprise essayait très probablement d’avoir une longueur d’avance et de garder ces informations, au cas où.
L’exploration de données n’a rien de nouveau, et les réseaux sociaux ont toujours utilisé cette stratégie. Le PDG de Zoom, Eric S. Yuan, a déclaré que la société «avait définitivement supprimé l’application LinkedIn Sales Navigator après avoir identifié une divulgation de données inutiles via cette fonctionnalité».
Suite à tous ces problèmes, la société se concentre désormais sur la mise en place de nouvelles fonctionnalités pour résoudre les problèmes existants.
«Au cours des 90 prochains jours, nous nous engageons à consacrer les ressources nécessaires pour mieux identifier, traiter et résoudre les problèmes de manière proactive. Nous nous engageons également à être transparents tout au long de ce processus», a également déclaré le PDG de Zoom.
tags
Juillet 01, 2024
Juin 10, 2024
Juin 03, 2024
Mai 16, 2024