Face à la pression, Zoom annonce un renforcement de sa sécurité

Eric-Yuan-1060x655Nous vous en parlions hier, le CEO de Zoom organisait hier soir une session de Q&A avec les utilisateurs. Sans surprise ont était plus sur une série d’annonces concernant la sécurité pour faire face à la tempête qui s’est abattue sur la société à juste titre pour ses pratiques en matière de confidentialité et de sécurité.

Tout d’abord, si vous avez loupé les évènements précédents, un rappel de ce qui était reproché au fils des semaines à Zoom :

Parmi les problèmes constatés, il y avait principalement :

  • l’envoi de données à Facebook,
  • une fausse déclaration d’utilisation d’un cryptage de bout en bout,
  • des vulnérabilités qui pourraient permettre à un pirate informatique local d’accéder à la racine,
  • des identifiants de réunion devinables
  • un cryptage faible.

L’utilisation de la plateforme a donc été largement interdite, tant par les gouvernements que par certaines entreprises.

Zoom avait annoncé un plan de 90 jours pour résoudre ces problèmes, le patron de l’entreprise est ainsi revenu sur ces éléments. Voici ce qu’il faut retenir en résumé :

  1. Annonce de la mise en place du Cryptage AES 256 bits GCM : Zoom passe à la norme de cryptage AES 256 bits GCM, qui offre une protection accrue des données de réunions en transit et une résistance contre les manipulations. Cela permet de garantir la confidentialité et l’intégrité des données. Zoom 5.0, dont la sortie est prévue dans la semaine, prend en charge le cryptage GCM, et cette norme prendra effet une fois que tous les comptes seront activés avec GCM. L’activation des comptes à l’échelle du système aura lieu le 30 mai.
  2. Lisibilité des fonctions de sécurité : Les fonctions de sécurité de Zoom, qui étaient auparavant accessibles dans tous les menus de la réunion, sont maintenant regroupées et accessibles en cliquant sur l’icône de sécurité dans la barre de menu de la réunion sur l’interface de l’hôte. Les hôtes pourront « signaler un utilisateur » à Zoom via l’icône de sécurité. Ils pourront également désactiver la possibilité pour les participants de se renommer. Pour les clients éducation, le partage d’écran est désormais limité par défaut à l’hôte.
  3. Salle d’attente activée par défaut : La salle d’attente, une fonction existante qui permet à un hôte de garder les participants dans des salles d’attente virtuelles individuelles avant qu’ils ne soient admis à une réunion, est maintenant activée par défaut pour les comptes Education, Basic et licence unique Pro. Tous les hôtes peuvent désormais également activer la salle d’attente y compris pendant que leur réunion est déjà en cours (pour éviter l’arrivée d’une autre personne qui aurait découvert ce numéro de salle)
  4. Complexité du mot de passe pour les réunions et activation par défaut : Les mots de passe pour les réunions, une fonction de zoom existante, est maintenant activée par défaut pour la plupart des clients, y compris tous les clients Basic, les clients à licence unique Pro et les clients éducation. Pour les comptes administrés, les administrateurs de compte ont maintenant la possibilité de définir la complexité des mots de passe (tels que la longueur, les caractères alphanumériques et les caractères spéciaux requis). En outre, les administrateurs de Zoom Phone peuvent désormais ajuster la longueur du code PIN nécessaire pour accéder à la messagerie vocale.
  5. Les mots de passe sont désormais définis par défaut pour tous ceux qui accèdent aux enregistrements dans le cloud, à l’exception de l’hôte de la réunion, et nécessitent un mot de passe complexe. Pour les comptes administrés, les administrateurs de compte ont maintenant la possibilité de définir la complexité du mot de passe.
  6. Partage sécurisé des contacts de compte : Zoom 5.0 prendra en charge une nouvelle structure de données pour les grandes organisations, leur permettant de relier les contacts de plusieurs comptes afin que les personnes puissent facilement et en toute sécurité rechercher et trouver des réunions, des chats et des contacts téléphoniques.
  7. Amélioration du tableau de bord : Les administrateurs peuvent voir comment leurs réunions se connectent aux centres de données Zoom dans leur tableau de bord Zoom. Cela inclut tous les centres de données connectés à des serveurs HTTP en mode Tunnel, ainsi que les connecteurs et les passerelles des salles de conférence Zoom.
  8. Pendant une réunion, l’ID de la réunion et l’option Inviter ont été déplacées de l’interface Zoom principale au menu Participants, rendant plus difficile pour un utilisateur de partager accidentellement son ID de réunion.

A voir avec le temps si ces mesures suffiront à répondre aux inquiétudes des utilisateurs et surtout des administrateurs. En tout cas l’entreprise a semble-t-il pris la mesure du mécontentement et apporté des réponses assez concrètes. Pour ce qui est du chiffrement de bout en bout : Eric Yuan a préciser que la société avait commis plutôt une « erreur marketing » sur ce point car il est impossible de faire du bout en bout si il y a un serveur (et c’est logique qu’il y est ce serveur) pour concentrer et appels dès lors qu’il y a plus de deux personnes. Il a confirmé, et l’on voit mal comment cela pourrait être autrement, que les clés sont bien (comme ses concurrents) chez Zoom.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.