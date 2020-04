L’application de vidéoconférence populaire Zoom a été critiquée pour de nombreuses failles de sécurité au cours des derniers jours et a maintenant publié des excuses publiques ainsi qu’un plan d’action pour résoudre les problèmes.

L’annonce a été faite dans un article de blog publié sur le site Web de Zoom le 1er avril et tente d’atténuer une partie de la mauvaise presse que la société a reçue au cours des deux dernières semaines.

Le billet de blog sert à quelques fins. La première consiste à servir de référentiel aux problèmes précédemment reconnus, citant que la société a travaillé pour résoudre les problèmes de sécurité à mesure qu’ils surviennent. L’annonce explique également sur quoi la société a travaillé, y compris une vaste section sur le rôle de Zoom dans les salles de classe élémentaires et secondaires.

Le deuxième objectif du blog est de décrire le plan d’action de l’entreprise pour résoudre les problèmes en cours. L’équipe Zoom se donne 90 jours pour résoudre les problèmes existants.

Au cours de ces 90 jours, Zoom procède à un blocage des fonctionnalités. Aucun développement supplémentaire ne se produira sur les produits Zoom tant que les problèmes de sécurité n’auront pas été résolus. Ils prévoient de renforcer leurs fonctionnalités de sécurité par divers moyens, notamment des tests de pénétration en boîte blanche et l’extension des procédures actuelles de test de bogues.

Zoom commencera à rencontrer des experts tiers, ainsi que des utilisateurs de Zoom, pour “comprendre et assurer la sécurité de tous nos nouveaux cas d’utilisation grand public”. Ils prévoient de préparer un rapport de transparence pour traiter les demandes de données, d’enregistrements et de contenu. La société prévoit d’organiser un webinaire hebdomadaire pour fournir des mises à jour de sécurité aux utilisateurs de Zoom.

“Nous étudions et travaillons activement pour résoudre ces problèmes”, a déclaré un représentant de Zoom à AppleInsider dans un e-mail. “Nous sommes en train de mettre à jour notre programme d’installation pour résoudre un problème et mettrons à jour notre client pour atténuer le problème du microphone et de la caméra.”

La vague de plaintes la plus récente a commencé lorsqu’il a été découvert que la société envoyait des données utilisateur à Facebook sans leur autorisation. Zoom a informé Facebook de l’ouverture de l’application iOS, de l’appareil utilisé par un utilisateur, de son opérateur et de la ville et du fuseau horaire à partir desquels il se connecte. Les données comprenaient également une balise d’annonceur unique, connectée à l’appareil d’un utilisateur, que les entreprises utilisent pour cibler les publicités.

Zoom avait déclaré publiquement aux médias que les informations avaient été rendues anonymes, mais avait compris pourquoi les utilisateurs étaient contrariés. La société a supprimé la capacité de l’application d’envoyer des données à Facebook dans une mise à jour publiée le 27 mars.

Peu de temps après, les experts en sécurité ont découvert que Zoom était capable de s’installer sur les Mac en contournant les fonctionnalités de sécurité d’Apple. Il a été découvert simultanément que la société avait revendiqué le service de cryptage de bout en bout mais ne possédait pas ces fonctionnalités.

Le 1er avril, il a été découvert qu’une faille dans le logiciel Zoom permettait à un utilisateur local ou à un logiciel malveillant de se superposer aux autorisations de la caméra et du microphone de Zoom. Un attaquant peut injecter du code malveillant dans l’espace de traitement de Zoom et “hériter” des autorisations de caméra et de microphone, leur permettant de les détourner à l’insu de l’utilisateur.

En 2019, un chercheur en sécurité a découvert une vulnérabilité de jour zéro dans l’application qui aurait pu permettre à des sites Web malveillants d’activer et de visualiser une webcam Mac à l’insu des utilisateurs.