firud
Abonné·e de Mediapart

3 Billets

0 Édition

Billet de blog 18 avr. 2020

Zoom : quand le confort passe avant la sécurité

Dans le milieu des logiciels de visioconférence, Zoom s'est trouvé une place d’incontournable. Grâce à sa facilité d’utilisation, de plus en plus d’utilisateurs utilisent ce service. Pourtant, ces dernières semaines, il est au milieu de nombreuses controverses. Si le confort est indiscutable, qu’en est-il de la sécurité ?

firud
Abonné·e de Mediapart

Ce blog est personnel, la rédaction n’est pas à l’origine de ses contenus.

Zoom est un logiciel de visioconférence freemium (gratuit, avec un service payant) très en vogue dans cette période de confinement. Le nombre d’utilisateurs est passé de 10 millions en décembre 2019 à plus de 200 millions aujourd’hui. Zoom permet de créer une salle virtuelle dans laquelle jusqu’à 100 participants peuvent interagir. Le logiciel est disponible sur Windows, Mac, Linux, iOS, Android et en version web. Ce logiciel accessible à tous à tout pour séduire, pourtant aujourd'hui de nombreuses questions se posent sur la confidentialité et la sécurité.

La polémique a commencé avec version d’iOS de Zoom qui, selon Vice, envoyait des données chez Facebook. En effet, les développeurs ont utilisé dans leur code des programmes fournis directement par Facebook. A chaque connexion, ces programmes envoyaient au réseau social des informations comme le modèle de l'appareil, la ville de l'utilisateur, le fournisseur de téléphonie ou encore un identifiant unique servant à cibler la publicité. Ces données étaient collectées sans autorisation de l’utilisateur et ce, même quand il n’avait pas de compte Facebook.

530 000 comptes achetés sur le Dark Web

La société Cyble (spécialisée dans la cyber sécurité) s’est récemment rendue compte que des données sur les utilisateurs de zoom s’échangeaient sur des forums sur le dark web. Cyble a décidé d’acheter des informations dans le but de vérifier le contenu et d'avertir ses utilisateurs de la faille potentielle. À raison de 0,0020 dollars par compte, la société a ainsi acquis près de 530 000 comptes pour environ 1 000 dollars. Les données recueillies contiennent des adresses mails, mots de passe, des URL de réunions personnelles et codes d'administration. Dans les comptes qu’elle a achetés, la société Cyble a comparé les informations récupérées et les informations qu'ils possédaient sur leurs client pour vérifier si les données acquises étaient exactes. Il s'est avéré que les informations achetées correspondaient bien aux informations réelles.

Cyble également a annoncé que les comptes incluent ceux de personnels d’entreprises telles que Citybank (une banque d’importance mondiale, la plus importante aux États-Unis en 2007), Chase (une autre banque Américaine), mais aussi des institutions scolaires. Avant d’acheter ces comptes, Cyble avait déjà identifié que des comptes d’universités telles que l’Université du Vermont, l’Université du Colorado, le Dartmouth College, le Lafayette College, l’Université de Floride, et bien d’autres étaient disponibles gratuitement pour tester, permettant ainsi à des hackers de s'inviter dans des conversations privées et de faire du « ZoomBombing » : s’introduire dans des rendez-vous scolaires, rassemblements religieux et autres réunions pour y harceler les membres.

Selon les informations révélées, les comptes disponibles sur le dark web ont été a priori obtenus grâce au « credential stuffing ». Cette méthode consiste à récupérer des identifiants et mots de passe déjà découverts lors de précédents piratages et a les tester sur d’autres plateformes (ici Zoom).

Face à ces problèmes de taille, Zoom s’est défendu : « Il est courant que les services web qui servent les consommateurs soient ciblés par ce type d'activité, qui implique généralement que les malfaiteurs testent un grand nombre de justificatifs d'identité déjà compromis provenant d'autres plateformes pour voir si les utilisateurs les ont réutilisés ailleurs. Ce type d'attaque n'affecte généralement pas nos grandes entreprises clientes qui utilisent leurs propres systèmes d'authentification unique. Nous avons déjà engagé plusieurs sociétés de renseignement pour trouver ces décharges de mots de passe et les outils utilisés pour les créer, ainsi qu'une société qui a fermé des milliers de sites web tentant de tromper les utilisateurs pour qu'ils téléchargent des logiciels malveillants ou abandonnent leurs identifiants. Nous continuons à enquêter, nous verrouillons les comptes dont nous avons découvert qu'ils étaient compromis, nous demandons aux utilisateurs de changer leur mot de passe pour un mot plus sûr et nous envisageons de mettre en œuvre des solutions technologiques supplémentaires pour soutenir nos efforts »

Plus récemment, la firme de cybersécurité Insight a découvert à son tour une base de données contenant plus de 2300 identifiants et mots de passes d’utilisateurs de Zoom. Mais en plus de ces information, la société a aussi repéré des forums qui indiquent comment accéder à des visioconférences ou plus grave encore, comment trouver les numéros de cartes de crédit des utilisateurs de l’application. Il n’ont cependant pas précisé si la fuite de données pouvait provenait d’un utilisateur, d’une faille de sécurité ou simplement d’un manque de sécurité des informations.

Failles de sécurité

Selon Vice, les logiciels Zoom pour Windows et MacOS connaîtraient des vulnérabilités. Sur le système d'exploitation de Microsoft, elle serait proposée pour un prix de 500 000 dollars. Elle permettrait d’exécuter du code à distance et de prendre le contrôle total du système. Un hacker pourrait ainsi lancer tout type de programmes sur l’ordinateur et accéder à l’ensemble du système et des fichiers. La faille peut par exemple permettre à une personne mal intentionnée d’effectuer de l’espionnage industriel. Tout ceci se passerai sans que la victime s'en aperçoive mais pour pouvoir exploiter la faille, le pirate devrait impérativement participer à une réunion sur Zoom.

Le second bogue découvert par Patrick Wardle (un ancien hacker de la NSA) exploite une faille dans la manière dont Zoom gère la webcam et le microphone sur les Mac. Ainsi, grâce à un code malveillant, quand l’utilisateur autorise l’application à accéder à la webcam et au microphone, l'utilisateur autorise le même accès au hacker.

Suite à ces révélations, Zoom a maintenant été interdit dans des administrations, notamment en Inde, aux États-Unis ou encore en Allemagne. Des entreprises comme SpaceX, Google ou encore la NASA ont prit la même décision. En France la question est posée pour les réunions de l’Assemblée.

Un rapport de The Intercept a également critiqué Zoom qui prétendait utiliser du chiffrement de bout en bout. En effet, contrairement aux informations communiquées sur son site internet, Zoom ne supporte pas le chiffrement de bout en bout. Les représentants ont alors présenté leurs excuses pour la confusion. Selon eux, le contenu étant chiffrée, il se sont permis d’utiliser le terme de « chiffrement de bout en bout », offrant pourtant un niveau de sécurité bien supérieur.

Et la sécurité dans tout ça ?

Dernièrement, le logiciel de visioconférence fait appel à des tiers pour renforcer la sécurité sur sa plateforme. Par exemple, elle a dernièrement nommé Alex Stamos, ancien chef de la sécurité chez Facebook, responsable de la sécurité des systèmes d'informations.

Côté infrastructure, Zoom met en place des systèmes empêchant des personnes d'essayer plusieurs combinaisons de noms d’utilisateur et de mots de passe. L’entreprise a également engagé entre autre des sociétés de renseignement pour détecter les tentatives de piratage, pour trouver les fichiers d’informations -contenant les adresse mails et mots de passe- sur le dark web ou encore pour trouver les outils utilisés pour créer ces fichiers.

Côté logiciel, depuis ces controverses, Zoom annonce régulièrement de nouvelles mesures de sécurité. Elle a par ailleurs publié une correction des problèmes sur Windows et MacOS. La société a également supprimé les programme Facebook de son code et le navigateur de vente de LinkedIn, qui, selon Zoom, pouvait divulguer des données. La politique de confidentialité a également été mise à jour. Les paramètres par défaut permettent maintenant l'utilisation de mots de passe pour les session, ainsi que la création d’une « salle d’attente » pour que l’administrateur du rendez-vous approuve les participants. Zoom a également pris des mesures pour améliorer la sécurité des mots de passe et a mis en place des ID aléatoires pour les réunions. Depuis le 18 avril, les clients payants peuvent choisir la région dans laquelle sera hébergées leur réunions (Amérique Latine, Australie, Canada, Chine, Etats-Unis, Europe, Inde et Japon/Hong Kong).

Selon le PDG de Zoom, l’entreprise va désormais se concentrer sur la sécurité et la confidentialité plutôt que sur le développement de nouvelles fonctionnalités. A cet effet, la société de visioconférence a prévu d’effectuer un examen complet prochainement.

Alors, on crée un compte ?

Après de nombreuses polémiques, Zoom mise maintenant sur la sécurité et la confidentialité. Entre les données envoyées chez des tiers, les informations vendues sur des forums de hacker, les failles dans les logiciels ou encore le manque de sécurité caché par une publicité mensongère, difficile de continuer à faire confiance à cette plateforme de visioconférence. Même si l'entreprise décide de rattraper ses erreurs, il semble y avoir encore du travail et il est difficile de savoir si l'entreprise continuera de travailler sur la sécurité une fois les polémiques derrière eux.

Si vous utilisez Zoom dans un cadre professionnel et que votre employeur vous impose son usage, pensez à utiliser un mot de passe différent de vos autres plateformes. Vous pouvez également utiliser une adresse mail à usage unique si vous préférez que votre adresse mail ne se retrouve pas dans des bases de données de hackers. Si vous n'avez aucune obligation, privilégiez l'usage d'un logiciel comme Jitsi meet. Si i ce logiciel libre français peut s'avérer moins confortable que Zoom, la sécurité ne fait pas défaut. L'avantage est que le code source étant accessible à tous, n'importe quel développeur peut proposer des améliorations de sécurité. Par ailleurs, n'étant pas à but lucratif, vous ne verrez jamais vos données envoyées chez des tiers comme Facebook ou Google. Par ailleurs, aucune adresse mail ni mot de passe n'est demandé mais il vous suffit seulement d'accéder à un "salon", en ligne ou sur les applications. Aucun risque donc de retrouver ses informations sur des forums de hackers.

Ressources :

https://www.strategies.fr/actualites/marques/4043663W/zoom-renforce-sa-securite-apres-des-intrusions.html

https://www.globalsecuritymag.fr/Zoom-renforce-la-securite-de-sa,20200416,97738.html

https://www.developpez.com/actu/300530/Zoom-met-a-jour-son-logiciel-pour-ameliorer-la-protection-par-mots-de-passe-des-videoconferences-et-pour-securiser-les-enregistrements-sur-le-cloud/

https://securite.developpez.com/actu/298979/Un-ancien-hacker-de-la-NSA-decouvre-une-faille-dans-Zoom-permettant-de-prendre-le-controle-des-Mac-notamment-la-webcam-le-micro-et-l-acces-root-Elon-Musk-interdit-a-ses-employes-de-l-utiliser/

https://www.phonandroid.com/zoom-des-pirates-vendent-faille-securite-critique-500000-dolllars.html

https://cyberguerre.numerama.com/4445-zoom-pour-500-000-dollars-des-hackers-fournissent-une-faille-pour-espionner-les-conversations.html

https://www.01net.com/actualites/zoom-des-hackers-vendent-une-faille-zero-day-pour-500000dollars-1893915.html

https://securite.developpez.com/actu/300386/Zoom-530-000-comptes-ont-ete-vendus-dans-des-forums-de-hackers-et-sur-le-dark-web-l-entreprise-a-propose-un-renforcement-de-la-securite-en-reaction/

https://www.vice.com/en_us/article/qjdqgv/hackers-selling-critical-zoom-zero-day-exploit-for-500000

https://laminute.info/2020/04/16/pas-une-plate-forme-sure-linde-interdit-le-zoom-a-lusage-du-gouvernement/

https://www.phonandroid.com/zoom-google-interdit-employes-utiliser-service-visioconference.html

https://www.ladn.eu/tech-a-suivre/zoom-failles-securite-alternatives/

https://www.francetvinfo.fr/sante/maladie/coronavirus/nouveau-monde-faut-il-continuer-a-utiliser-l-application-zoom_3896977.html

https://lecafedugeek.fr/zoom-une-faille-peut-mettre-votre-ordinateur-en-peril/

https://cyberguerre.numerama.com/4405-pourquoi-ladministration-francaise-a-t-elle-autant-de-mal-a-remplacer-zoom.html

https://laminute.info/2020/04/16/pas-une-plate-forme-sure-linde-interdit-le-zoom-a-lusage-du-gouvernement/

https://www.directioninformatique.com/une-nouvelle-base-de-donnees-zoom-rendue-publique/85815

https://www.lefigaro.fr/medias/l-application-zoom-prise-en-defaut-de-securite-et-confidentialite-20200401

https://www.bleepingcomputer.com/news/security/over-500-000-zoom-accounts-sold-on-hacker-forums-the-dark-web/

https://www.journaldunet.com/web-tech/guide-de-l-entreprise-digitale/1443796-zoom-530-000-comptes-d-utilisateurs-en-vente-sur-le-dark-web/

https://www.lefigaro.fr/secteur/high-tech/les-donnees-de-530-000-comptes-zoom-en-vente-sur-le-dark-web-20200414

https://www.generation-nt.com/zoom-plus-530-000-comptes-vente-dark-web-actualite-1975273.html

https://www.journaldunet.com/web-tech/guide-de-l-entreprise-digitale/1443796-zoom-530-000-comptes-d-utilisateurs-en-vente-sur-le-dark-web/

https://www.vice.com/en_us/article/k7e599/zoom-ios-app-sends-data-to-facebook-even-if-you-dont-have-a-facebook-account

Bienvenue dans le Club de Mediapart

Tout·e abonné·e à Mediapart dispose d’un blog et peut exercer sa liberté d’expression dans le respect de notre charte de participation.

Les textes ne sont ni validés, ni modérés en amont de leur publication.

Voir notre charte

À la Une de Mediapart

Journal — Migrations
La véritable histoire d’Omar Elkhouli, tué par la police à la frontière italienne
Cet Égyptien est mort mi-juin pendant une course-poursuite entre la police aux frontières et la camionnette où il se trouvait avec d’autres sans-papiers. Présenté comme un « migrant », il vivait en fait en France depuis 13 ans, et s’était rendu en Italie pour tenter d’obtenir une carte de séjour.
par Nejma Brahim
Journal — Éducation
Au Burundi, un proviseur français accusé de harcèlement reste en poste
Accusé de harcèlement, de sexisme et de recours à la prostitution, le proviseur de l’école française de Bujumbura est toujours en poste, malgré de nombreuses alertes à l’ambassade de France et au ministère des affaires étrangères.
par Justine Brabant
Journal — Europe
L’Ukraine profite de la guerre pour accélérer les réformes ultralibérales
Quatre mois après le début de l’invasion, l’économie ukrainienne est en ruine. Ce qui n’empêche pas le gouvernement de procéder à une destruction méthodique du code du travail.
par Laurent Geslin
Journal — International
Plusieurs morts lors d’une fusillade à Copenhague
Un grand centre commercial de la capitale danoise a été la cible d’une attaque au fusil, faisant des morts et des blessés, selon la police. Un jeune homme de 22 ans a été arrêté. Ses motivations ne sont pas encore connues.
par Agence France-Presse et La rédaction de Mediapart

La sélection du Club

Billet de blog
Cochon qui s’en dédit
Dans le cochon, tout est bon, même son intelligence, dixit des chercheurs qui ont fait jouer le suidé du joystick. Ses conditions violentes et concentrationnaires d’élevage sont d’autant plus intolérables et son bannissement de la loi sur le bien-être animal d’autant plus incompréhensible.
par Yves GUILLERAULT
Billet de blog
Faux aliments : en finir avec la fraude alimentaire
Nous mangeons toutes et tous du faux pour de vrai. En France, la fraude alimentaire est un tabou. Il y a de faux aliments comme il y a de fausses clopes. Ces faux aliments, issus de petits trafics ou de la grande criminalité organisée, pénètrent nos commerces, nos placards, nos estomacs dans l’opacité la plus totale.
par foodwatch
Billet de blog
Face aux risques, une histoire qui n'en finit pas ?
[Rediffusion] Les aliments se classent de plus en plus en termes binaires, les bons étant forcément bio, les autres appelés à montrer leur vraie composition. Ainsi est-on parvenu en quelques décennies à être les procureurs d’une nourriture industrielle qui prend sa racine dans la crise climatique actuelle.
par Géographies en mouvement
Billet de blog
Grippe aviaire : les petits éleveurs contre l’État et les industriels
La grippe aviaire vient de provoquer une hécatombe chez les volailles et un désespoir terrible chez les petits éleveurs. Les exigences drastiques de l’État envers l’élevage de plein air sont injustifiées selon les éleveurs, qui accusent les industriels du secteur de chercher, avec la complicité des pouvoirs publics, à couler leurs fermes. Visite sur les terres menacées.
par YVES FAUCOUP