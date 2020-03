Dans un autre acte d’accusation accablant sur les pratiques de confidentialité et de sécurité de Zoom, un expert en logiciels malveillants a révélé que le protocole d’installation macOS de Zoom est “très louche”.

Dans un tweet publié le 30 mars, l'utilisateur de Twitter @ c1truz_ a déclaré:

Vous êtes-vous déjà demandé comment le programme d’installation de macOS @zoom_us fonctionne sans que vous ayez à cliquer sur installer? Il s’avère qu’ils (ab) utilisent des scripts de préinstallation, décompressent manuellement l’application à l’aide d’un 7zip fourni et l’installent dans / Applications si l’utilisateur actuel est dans le groupe admin (aucune racine n’est requise).

Ce n’est pas strictement malveillant mais très ombragé et laisse définitivement un arrière-goût amer. L’application est installée sans que l’utilisateur donne son consentement final et une invite très trompeuse est utilisée pour obtenir les privilèges root. Les mêmes astuces que celles utilisées par les logiciels malveillants macOS.

Vous êtes-vous déjà demandé comment le programme d'installation de @zoom_us macOS fonctionne sans que vous ayez à cliquer sur installer? Il s'avère qu'ils (ab) utilisent des scripts de préinstallation, décompressent manuellement l'application à l'aide d'un 7zip fourni et l'installent dans / Applications si l'utilisateur actuel est dans le groupe admin (aucune racine n'est requise).

La révélation est une autre marque des pratiques de confidentialité et de sécurité apparemment laxistes de Zoom. L’application a pris de l’importance à la suite des mesures de verrouillage mondial et de distanciation sociale qui ont forcé de nombreuses organisations à recourir au travail à distance. La semaine dernière, il est apparu que Zoom envoyait des données à Facebook même si les utilisateurs n’avaient pas de compte Facebook, un problème qui a maintenant été résolu.

Plus récemment, il est apparu que les appels Zoom ne sont pas chiffrés de bout en bout malgré les affirmations contraires. De ce rapport:

Dans plusieurs cas, dans le livre blanc sur la sécurité de Zoom, il mentionne le cryptage E2E et lorsque vous activez E2E, vous pouvez survoler le cadenas vert dans le coin supérieur gauche d’une réunion et voir la fenêtre contextuelle “Zoom utilise une connexion cryptée de bout en bout. ” Cependant, The Intercept affirme que lorsqu’il a contacté Zoom pour obtenir des commentaires, un porte-parole a déclaré:

“Actuellement, il n’est pas possible d’activer le chiffrement E2E pour les réunions vidéo Zoom. Les réunions vidéo Zoom utilisent une combinaison de TCP et UDP. Les connexions TCP sont établies à l’aide de TLS et les connexions UDP sont chiffrées avec AES à l’aide d’une clé négociée via une connexion TLS.”