La FTC a annoncé un règlement global avec Zoom concernant de nombreuses lacunes présumées en matière de sécurité. Dans le cadre de l’accord, Zoom n’admet ni ne nie aucune des allégations.
Les allégations de problèmes de sécurité incluent des lacunes de sécurité époustouflantes, telles que le stockage d’enregistrements privés sur un stockage en nuage non chiffré et l’absence de stratégies simples d’atténuation de la connexion par force brute.
L’accord oblige Zoom à apporter des modifications destinées à améliorer la sécurité.
Certains des changements sont incroyablement basiques, comme l’atténuation du mot de passe par force brute, ce qui incite une personne à se demander si Zoom consacrait des ressources à la sécurité des utilisateurs.
Plusieurs des principales allégations contre Zoom sont:
- Utilisateurs trompés sur le niveau de sécurité
- Stockage non chiffré des enregistrements dans le cloud
- Contournement de la sécurité du navigateur Safari
- Risque accru de vidéosurveillance
- Notifications de version de logiciel trompeuses
Faux sentiment de sécurité
La plainte FTC allègue que Zoom s’est livrée à des pratiques qui ont donné aux consommateurs un faux sentiment de sécurité.
Selon la FTC:
«Dans de nombreux articles de blog, Zoom a spécifiquement présenté son niveau de cryptage comme une raison pour les clients et les clients potentiels d’utiliser les services de visioconférence de Zoom.
Andrew Smith, directeur du Bureau de la protection des consommateurs de la FTC. «Les pratiques de sécurité de Zoom ne correspondaient pas à ses promesses, et cette action contribuera à garantir la protection des réunions et des données Zoom sur les utilisateurs de Zoom.»
Publicité
Continuer la lecture ci-dessous
Zoom présumé avoir un risque accru de vidéosurveillance
Dans l’allégation peut-être la plus inquiétante, la FTC a déclaré que l’approche de Zoom en matière de sécurité augmentait la possibilité que des étrangers puissent accéder à des vidéos privées.
La FTC allègue:
«… Zoom n’a mis en œuvre aucune mesure compensatoire pour protéger la sécurité des utilisateurs et a augmenté le risque de surveillance vidéo à distance des utilisateurs par des étrangers. Le logiciel restait sur les ordinateurs des utilisateurs même après la suppression de l’application Zoom et réinstallait automatiquement l’application Zoom – sans aucune action de l’utilisateur – dans certaines circonstances.
La plainte allègue que le déploiement de ZoomOpener par Zoom, sans préavis ni consentement de l’utilisateur, était injuste et violait la loi FTC. »
Utilisateurs trompés sur la sécurité
La FTC a allégué que Zoom avait menti aux utilisateurs en garantissant aux utilisateurs un «cryptage 256 bits de bout en bout» alors qu’en fait, Zoom utilisait un cryptage moindre. Le cryptage de bout en bout est lorsque les données envoyées sont sécurisées à chaque extrémité, où seuls les utilisateurs peuvent accéder aux informations.
La FTC allègue que ce n’était pas du tout le cas, que Zoom a pu entrer par effraction dans des réunions privées Zoom et que le niveau de confidentialité était inférieur à celui de la publicité.
Publicité
Continuer la lecture ci-dessous
Stockage cloud non chiffré
L’allégation la plus surprenante contre Zoom est peut-être que les vidéos privées ont été stockées non cryptées dans le cloud.
Voici ce que la plainte FTC alléguait:
«Zoom a également induit en erreur certains utilisateurs qui souhaitaient stocker des réunions enregistrées sur le stockage cloud de l’entreprise en affirmant à tort que ces réunions étaient chiffrées immédiatement après la fin de la réunion.
Au lieu de cela, certains enregistrements auraient été stockés non chiffrés pendant jusqu’à 60 jours sur les serveurs de Zoom avant d’être transférés vers son stockage cloud sécurisé.
Accord proposé par la FTC
La proposition FTC comporte de nombreuses activités liées à la sécurité auxquelles Zoom doit se conformer. Tous semblent assez basiques et de bon sens.
Voici un aperçu des exigences de sécurité:
- Évaluation annuelle de la sécurité
- Développer des moyens de se prémunir contre les risques de sécurité
- Mettre en place un programme de gestion des vulnérabilités
- Créez des politiques pour vous protéger contre les attaques en ligne
- Créer des garanties contre l’accès non autorisé à son réseau
- Évaluations biennales de la sécurité par des tiers
Protections contre les pirates
Une partie de ce qui est requis semble si basique que l’on doit se demander pourquoi Zoom n’avait pas ces fonctionnalités au départ. Par exemple, l’une des fonctionnalités est la limitation du taux de tentatives de connexion.
La limitation de débit est le processus qui consiste à détecter lorsqu’un logiciel appelé Bot demande rapidement des pages Web et à les bloquer du site Web. Le blocage de ce type de bots les empêche d’essayer de deviner le mot de passe.
De nombreux systèmes de gestion de contenu Web incluent différentes formes de limitation de débit ou peuvent l’avoir avec un plugin. Il est donc très surprenant que Zoom doive être requis pour l’utiliser, c’est une sorte de niveau de sécurité 101 que tous les sites devraient avoir.
Par exemple, le logiciel de forum open source connu sous le nom de phpBB a une limitation de débit de base intégrée qui permet aux mesures anti-spambot de démarrer après un nombre défini de tentatives de connexion.
Les éditeurs WordPress disposent d’une multitude de plugins qui peuvent limiter le nombre de fois où un bot peut essayer de deviner un mot de passe, puis les empêcher d’accéder au site.
La FTC demande à Zoom d’établir des politiques pour se protéger contre les attaques en ligne (comme les attaques de devinettes de mot de passe), en exigeant que les utilisateurs de Zoom utilisent des mots de passe forts, pour commencer à utiliser des procédures d’identification de bot pour empêcher les pirates d’attaquer la connexion, limiter les tentatives de connexion et forcer le mot de passe se réinitialise lorsque les informations d’identification sont compromises.
Publicité
Continuer la lecture ci-dessous
Tout ce qui précède est une mesure anti-piratage raisonnable.
Établir un programme de gestion des vulnérabilités
L’accord FTC oblige également Zoom à mettre en place des mesures de sécurité proactives, telles qu’une analyse de sécurité trimestrielle, ainsi qu’une évaluation de sécurité par un tiers et des tests de résistance. Le test de résistance consiste en ce qu’une entreprise de sécurité inspecte et sonde le site à la recherche de problèmes de sécurité.
Voici comment la FTC décrit l’analyse trimestrielle:
«Effectuer des analyses de vulnérabilité des réseaux et des systèmes du répondant au moins une fois par trimestre…»
Zoom accepte de protéger les utilisateurs à partir de maintenant
Dans l’ensemble, l’accord exige que Zoom entreprenne des tâches et activités raisonnables liées à la sécurité.
Étant donné que Zoom est utilisé par les entreprises pour lesquelles la sécurité est essentielle ainsi que par les consommateurs qui attendent la confidentialité, ces mesures devraient contribuer grandement à prévenir une faille de sécurité majeure, ce qui est bon pour Zoom et leurs clients.
«Zoom a accepté une obligation d’établir et de mettre en œuvre un programme de sécurité complet, une interdiction des fausses déclarations de confidentialité et de sécurité, et d’autres allégements détaillés et spécifiques pour protéger sa base d’utilisateurs, qui est passée de 10 millions en décembre 2019 à 300 millions en avril. 2020 pendant la pandémie COVID-19. »
Publicité
Continuer la lecture ci-dessous
Citation
Annonce officielle de la Federal Trade Commission (FTC)
FTC a besoin de Zoom pour améliorer ses pratiques de sécurité dans le cadre du règlement
Auteur/autrice
