Ordinateurs

Pratiques de sécurité et de confidentialité de Zoom Kind of Zuck – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Dans notre bousculade collective pour transformer des piles de boîtes à pizza de trois pieds, des tas de jouets pour enfants et la lessive de la semaine dernière en un espace de bureau crédible, une poignée d’entreprises ont gagné un grand nombre d’utilisateurs en peu de temps. L’utilisation de Zoom Video a augmenté au cours des deux dernières semaines, faisant grimper le cours de l’action de l’entreprise, mais cette même popularité a encouragé un examen beaucoup plus approfondi des diverses pratiques de confidentialité et de sécurité de l’entreprise. Le zoom ne se débrouille pas très bien dans ces comparaisons, et les mauvaises nouvelles ne cessent de s’accumuler.

Plus récemment, The Intercept révélé ce zoom n’a pas offrent un cryptage de bout en bout, malgré des promesses spécifiques du contraire. Le chiffrement de bout en bout est une fonctionnalité que Zoom prétend offrir lors des appels vidéo, à la fois dans son livre blanc sur la sécurité et dans son application.

Image par L’interception

Lorsqu’on leur a demandé s’ils implémentaient réellement le cryptage E2E, cependant, Zoom a répondu que ce n’était pas le cas.

« Actuellement, il n’est pas possible d’activer le cryptage E2E pour la réunion vidéo Zoom », a écrit le représentant. « Les visioconférences Zoom utilisent une combinaison de TCP et UDP. Les connexions TCP sont établies à l’aide de TLS et les connexions UDP sont cryptées avec AES à l’aide d’une clé négociée sur une connexion TLS.

Au lieu d’activer le chiffrement de bout en bout, Zoom utilise TLS. Il s’agit d’un chiffrement de transport et non d’un chiffrement de bout en bout. La différence la plus importante pour les utilisateurs finaux est la suivante : avec un véritable cryptage de bout en bout, comme celui proposé par Apple via FaceTime ou Signal, la société fournissant le service ne peut pas accéder à vos données vidéo, audio ou texte, même s’il le voulait. Il n’y a aucune information à donner aux gouvernements qui viennent la chercher.

Psssssst :  HP annonce un ordinateur portable de jeu Omen 15 remanié avec des options de processeur AMD

Le cryptage de transport, en revanche, permet à Zoom de jeter un coup d’œil dans le chat audio et vidéo (il s’avère que les messages de chat sont en fait cryptés de bout en bout dans les sessions Zoom, même si rien d’autre ne l’est). Comme le souligne le rapport, se présenter comme offrant E2E alors que ce n’est pas le cas pourrait constituer des pratiques commerciales et commerciales trompeuses si les clients choisissaient d’utiliser Zoom à la suite de ces affirmations plutôt qu’un service concurrent.

Les entreprises ne peuvent pas être autorisées à diluer la définition des termes de sécurité, de peur que nous perdions complètement leur signification. Le chiffrement de transport est un chiffrement de transport, et ce n’est pas la même chose que le chiffrement de bout en bout, peu importe à quel point Zoom le trouve utile pour prétendre qu’ils le sont.

Le cryptage n’est pas le seul problème de Zoom

Si le cryptage moche était la seule chose que Zoom avait été surpris en train de faire ces derniers jours, ce serait toujours une histoire importante – la société prétend fournir des services de sécurité qu’elle n’offre pas réellement. Au cours des dernières semaines, cependant, un certain nombre de problèmes de Zoom ont été révélés, notamment :

Zoom partage les données des utilisateurs finaux avec Facebook, même si vous n’utilisez pas Facebook. Le 26 mars, Motherboard a écrit: « L’application Zoom informe Facebook lorsque l’utilisateur ouvre l’application, des détails sur l’appareil de l’utilisateur tels que le modèle, le fuseau horaire et la ville à partir desquels il se connecte, l’opérateur téléphonique qu’il utilise et un identifiant d’annonceur unique créé par l’utilisateur. dispositif que les entreprises peuvent utiliser pour cibler un utilisateur avec des publicités. Rien de tout cela n’a été divulgué dans les politiques de confidentialité de l’entreprise. (Zoom a depuis annoncé qu’il mettrait fin à ces arrangements.)

Psssssst :  Nvidia Hack se poursuit avec la publication du code source DLSS - High-teK.ca

Le FEP couvert à la mi-mars, comment Zoom permet aux hôtes de réunion de surveiller si les gens ont la fenêtre focalisée, ce qui explique pourquoi on me demande sans cesse si je faisais attention lors d’une récente réunion Zoom avec une entreprise que je n’identifierai pas. À l’époque, je trouvais cela déroutant, car je prenais des notes et posais des questions, mais cela a plus de sens maintenant. Conseil de pro: Si je regarde votre visage ou votre diaporama pendant plus de quelques secondes à la fois, cela signifie probablement que je suis ne pas prêter attention. Si je fais attention, je fais une capture d’écran du diaporama pour un examen ultérieur et je prends des notes dans une application distincte.

Une enquête publiée aujourd’hui a révélé que Zoom a été fuite des e-mails et des photos à des inconnus en fonction de la façon dont il gère les adresses e-mail personnelles. L’annuaire d’entreprise de Zoom ajoute des personnes aux listes de contacts d’autres personnes sur la base d’un nom de domaine commun. Cependant, des personnes avec des fournisseurs de domaine de messagerie inhabituels se sont retrouvées ajoutées à des listes communes pouvant atteindre plusieurs milliers de personnes, constituant tous les autres utilisateurs de ce service qui se sont également inscrits à Zoom. Ce problème ne se produit pas avec les principaux fournisseurs d’adresses e-mail comme Gmail ou Yahoo, mais si vous avez obtenu votre service via « ExtremeMail.com », vous pourriez vous retrouver sur une liste de diffusion commune « Annuaire de l’entreprise » avec tous les autres clients ExtremeMail.com, même si aucun d’entre vous n’a quoi que ce soit en commun au-delà de votre fournisseur de messagerie. Il y a aussi un problème de sécurité qui permet aux attaquants voler vos identifiants de connexion sur un PC Windows.

Psssssst :  Amazon vend un disque dur externe de 16 To à un client avec un lecteur de 8 To installé

Zoom, semble-t-il, a un peu de ménage à faire avant de mériter de revendiquer le titre de « service vidéo pandémique préféré de l’Amérique ». Il n’offre pas de cryptage de bout en bout pour les appels vidéo et audio et il a déjà été pris en train de canaliser des données vers Facebook même lorsque les gens n’ont pas de compte Facebook. Au minimum, l’entreprise doit effectuer un audit de ses propres pratiques et résoudre ces problèmes, immédiatement.

Image de présentation par High-teK.ca, créée à partir du matériel marketing de Zoom et divers images de Zuckerberg disponible sur Wikimedia ou par Antoine Quintano, Flickr.

Maintenant lis:

Bouton retour en haut de la page