Tout sur la sécurité de la plateforme de conférence Zoom

Tout sur la sécurité de la plateforme de conférence Zoom.

La plateforme Zoom est un service très populaire pour les vidéoconférences et les webinaires. Mais, bien souvent, il y a des bugs et des failles de sécurité dans son fonctionnement. Et des fuites d'informations sensibles sur des comptes ou des diffusions entre les mains de fraudeurs. De plus, les clients signalent que les harceleurs s'introduisent dans les chats vidéo et interfèrent avec les réunions. Ci-dessous, vous trouverez des informations sur les failles du système et sur la manière de protéger votre compte et vos diffusions.

À quelles exigences légales de sécurité Zoom répond-il ?

Nous utilisons toutes les informations que nous collectons auprès des clients pour améliorer les processus de notre plateforme et fournir un service de qualité. Nous n'utilisons pas les données collectées pour fournir des services publicitaires ou promotionnels, et nous ne vendons ni ne louons les données à des tiers. Cela inclut les agences de publicité.

Les informations stockées par la plateforme sont constituées du mot de passe, du nom d'utilisateur, de l'adresse e-mail, de l'adresse IP, du prénom et du nom du client.

Le service respecte les réglementations et lois en vigueur dans les pays dans lesquels il fournit ses services. La Société respecte également les exigences légales en matière de sécurité des données personnelles, telles qu'établies dans le Règlement général sur la protection des données personnelles. Il est également conforme aux lois et réglementations de l'État de Californie, qui décrivent et guident la protection de la vie privée des consommateurs.

Zoom permet aux utilisateurs, dans certaines circonstances, de supprimer les données les concernant stockées par le service. Dans le cas où les informations collectées ne sont plus nécessaires.

Les clients ont le droit de demander la limitation du traitement des informations personnelles ou l'arrêt du traitement des données.

Le service implémente également les outils suivants pour maintenir la sécurité :

  • L'authentification est représentée par une longue liste d'options avec lesquelles l'utilisateur peut se connecter.
  • L'option de prévisualisation vidéo vous permet de prévisualiser les clips, de modifier l'arrière-plan et d'entrer dans la diffusion sans utiliser de caméra vidéo.
  • L'administrateur peut activer l'authentification à deux facteurs pour les autres participants. Et ils devront utiliser ce plugin pour se connecter au service.
  • Écrivez l'autorisation. Cette option est configurable par l'administrateur. Avant de commencer à enregistrer une réunion, tous les participants recevront un message sur leur écran indiquant que l'enregistrement est activé.

La plateforme dispose de plusieurs certifications d'organisations de cybersécurité réseau. Les outils de gestion de la sécurité de la plateforme fonctionnent conformément aux normes de sécurité cloud du UK National Cyber ​​​​Security Center.

Il peut vous intéresser:  Que faire si Zoom ne fonctionne pas sur téléphone et ordinateur

Pourquoi Zoom est considéré comme une plate-forme non sécurisée

Transmission de données

Il n'y a pas si longtemps, au printemps pour être exact, il a été révélé qu'une application fonctionnant sur des appareils iOS divulguait des informations sur les propriétaires du gadget au réseau social Facebook. Même si le propriétaire du téléphone portable n'y est pas enregistré. La plate-forme transmettait l'opérateur de réseau mobile utilisé par une personne, le type de téléphone portable dont elle disposait et le code publicitaire de l'appareil.

Il a divulgué des informations sur la ville dans laquelle vivait le propriétaire de l'appareil et sur le fuseau horaire auquel il appartenait. Ce type de données est généralement utilisé dans la personnalisation des annonces, en les adaptant à une personne spécifique.
Lorsque le monde a appris le bogue, Zoom s'est débarrassé du code qui envoyait les données au réseau social. Et les développeurs ont rapidement créé une mise à jour pour l'application.

Mais quelques jours plus tard, la société a été poursuivie pour violation de données sensibles.

Encodage vidéo faible.

Il est clair que le printemps ne s'est pas bien passé pour Zoom, car des accusations ont fait surface selon lesquelles le service ne protège pas le cryptage de bout en bout des transmissions audio et vidéo. Ce cryptage est considéré comme le plus sûr pour la transmission de données sur le "World Wide Web".

Le service a affirmé sur son site Web et dans un bloc d'informations utilisateur que le cryptage de bout en bout était utilisé pour transmettre des informations en toute sécurité. Cependant, dans la pratique, il s'est avéré que le TLS était utilisé.

Ce cryptage est dangereux, car le cryptage des données se fait entre les serveurs et les clients. Pas entre utilisateurs. Par conséquent, Zoom peut écouter et espionner les émissions et les transmettre à un tiers, comme la police.

Avant la plainte, la société a expliqué que le cryptage de bout en bout est utilisé pour garantir la confidentialité dans les forums de discussion. Et l'organisation n'a pas la clé pour déchiffrer les messages transmis.

Trous de sécurité

Au printemps dernier, des informations ont fait surface sur le commerce de trous ouverts et de "trous de taupe" dans la sécurité du service. Les utilisateurs ont découvert deux problèmes avec le système et n'ont pas signalé les résultats aux développeurs. Au lieu de cela, ils ont décidé de se lancer dans la vente criminelle des problèmes du système. Les failles découvertes permettaient de tracer les appels entre les clients de la plateforme.

Cela a été exprimé par un homme qui avait précédemment échangé des informations sur les "trous" du système. Il a dit qu'un problème avait été identifié dans le logiciel pour Windows, et l'autre pour MacOS. Les développeurs ont déclaré qu'ils avaient vérifié et n'avaient trouvé aucun "trou" dans la protection du logiciel.

espionnage d'appel

En hiver, une entreprise de cybersécurité a informé le public d'un problème qui permettait d'intercepter les appels et de consulter les documents et les pièces jointes dans les chats. Le problème était lié aux identifiants à utiliser pour accéder aux diffusions.

Les attaquants ont créé une base de données de codes spéciaux et, à l'aide d'un logiciel de correspondance de clés, ont recherché un identifiant pour les conversations vidéo en cours. Les réunions en ligne sans mot de passe correspondant à l'identifiant ont été ciblées. L'agence a constaté que la probabilité de trouver la bonne clé était de 4 %.

Il peut vous intéresser:  Enregistrer l'écran avec le son dans la conférence Zoom

Pour le moment, les développeurs ont corrigé ce bogue. Ils ont créé une option pour utiliser le mot de passe par défaut. Si un intrus essaie de se connecter à la conversation, après quelques tentatives, il sera banni.

Contenu illégal à l'antenne

Les hackers, attirés par l'énorme popularité de la plateforme, se sont imaginé un "divertissement" : en se connectant à une réunion en ligne, ils ont coupé les ondes. Ils ont commencé à mettre des vidéos contenant de la pornographie ou des images violentes. Pour se connecter, les voyous ont utilisé des liens vers la conférence publiés dans des forums ouverts, des forums de discussion et des groupes.

Le seul but était de perturber la réunion. Quelque chose de similaire a été observé pendant les cours à l'école. Des individus non identifiés se connectaient à une leçon vidéo et diffusaient du porno. La façon d'éviter cela est d'envoyer les liens dans des messages privés, d'utiliser un mot de passe et de désactiver l'accès à l'affichage de l'écran.

Stockage de code en Chine

Les clés de cryptage sont connues pour aller aux serveurs chinois. L'organisation Zoom possède plusieurs filiales chinoises. Et ils emploient environ 700 personnes dans le développement de logiciels. En théorie, la campagne pourrait se plier aux exigences du gouvernement chinois.

Le service, en réponse à la demande, a créé un paramètre qui vous permet de choisir le territoire par lequel les clés passeront. Cependant, pour les titulaires d'un compte gratuit, le paramètre est invalide.

Suppression incomplète des vidéos

Les vidéos, après suppression, se sont avérées disponibles pour être visionnées dans le stockage en nuage pendant 1 à 2 heures. Une erreur a également été détectée par laquelle des vidéos ont été trouvées sur la plate-forme, via des liens destinés à être visionnés par le public. Les vidéos détectées ont été téléchargées et visionnées sur l'appareil.
Le service a développé une nouvelle mise à jour visant à supprimer le bogue.

Vente de comptes.

Ce n'est pas la faute de Zoom pour la vente de comptes. Les utilisateurs eux-mêmes divulguent souvent les données d'accès au compte. Ou les pirates collectent des informations de connexion qui ont déjà été divulguées. Il s'avère qu'il y a environ un demi-million de comptes à vendre sur Internet fantôme et dans des groupes fermés. Certains des comptes appartiennent à un domaine russe.

Téléchargements non consensuels

Un employé d'une entreprise de cybersécurité a découvert que des logiciels pour ordinateurs avec un système d'exploitation Mac peuvent être installés sur le système. Et cela, sans obtenir l'autorisation du propriétaire de l'appareil. Ce comportement du logiciel ressemble à celui des logiciels espions.

Communiquer par un intermédiaire

La plateforme n'a pas d'autorisation normale. Il n'y a pas de vérification par SMS et l'authentification à deux facteurs ne fonctionne que sur la version du navigateur du service.

La protection des données n'est pas non plus terminée lorsque vous vous connectez à un appel via un lien. Les informations sont transmises à un intermédiaire (fournisseur d'accès Internet ou opérateur mobile). Si l'opérateur est attaqué par des pirates, les informations du client fuiront dans les "griffes" des attaquants.

Il peut vous intéresser:  Tarifs professionnels Zoom : tarifs et options

Comment protéger votre sécurité numérique sur Zoom

Protégez votre compte

Pour assurer le zoom, il faut :

  • Configurez une option d'authentification à deux facteurs, qui fournira une protection supplémentaire du compte.
  • Le mot de passe de votre compte personnel doit être complexe et sécurisé. Évitez les combinaisons avec des chiffres qui se suivent ou avec des mots russes écrits en anglais.
  • Ne transmettez pas le PMI à des personnes non autorisées, ne le publiez pas sur des forums et des sites ouverts.

De plus, lorsque vous donnez une adresse e-mail, il est préférable d'utiliser une adresse e-mail tierce. S'il est piraté, les données personnelles ne seront pas laissées "en marge".

Ne téléchargez pas de fausses applications et mods

Pour garantir la sécurité de Zoom, vous ne devez pas télécharger de programmes et d'applications à partir de sources tierces. Selon les experts, il existe de nombreux logiciels malveillants sur Internet qui se font passer pour des applications de service de zoom.

Les programmes informatiques doivent être téléchargés depuis le service officiel de la plateforme. Et les applications pour téléphones mobiles et tablettes sont téléchargées à partir des marchés d'applications officiels.

Chaque conférence pour un mot de passe

Un mot de passe doit être défini pour chaque conférence tenue. Cela protégera la diffusion contre les intrus et protégera les informations transmises. Les personnes qui ont reçu des invitations et le code secret pour rejoindre la réunion en ligne peuvent la rejoindre. Le mot de passe est créé par l'administrateur lors de la création de la conférence. Le mot de passe est créé par l'administrateur de la conférence.

Pour trouver le mot de passe, vous devez :

  • Dans un flux en cours, cliquez sur l'icône i dans le coin supérieur gauche de l'écran.
  • Le texte s'ouvre avec le mot de passe devant le titre correspondant.
  • Dans une conférence planifiée :
  • La section "Conférences" s'ouvre.
  • Cliquez sur le nom de la conversation.
  • Cliquez sur la ligne intitulée "Afficher l'invitation à la conférence".
  • Le mot de passe sera affiché sur la ligne inférieure de la fenêtre qui apparaît.

Utilisation des salles d'attente

Dans les paramètres du programme, il existe une option pour activer un mode spécial qui vous empêche d'entrer dans la conférence sans obtenir l'autorisation de l'administrateur de la conversation. Ça s'appelle "Salle d'attente".

Tous les participants, entrant dans la conférence, sont placés dans une salle virtuelle, où ils attendent que l'organisateur les démarre. Si l'utilisateur interfère avec la réunion pendant la conversation, il est renvoyé dans le hall.

Activer la démo uniquement après le contrôle de sécurité des données
La plate-forme dispose d'un paramètre qui permet aux participants à la réunion de montrer ce qui se passe sur leurs écrans. Lors de la configuration d'une réunion, vous devez sélectionner qui peut afficher l'écran. L'accès au partage d'écran doit être accordé aux participants vérifiés. S'il y a beaucoup de personnes inconnues dans la réunion, il est préférable de désactiver le partage d'écran pour les participants.

Il est également intéressant de couper les microphones des utilisateurs dans une conversation. Lorsqu'il n'y a pas de son, il n'y a aucune chance de gâcher la réunion.

Comme vous pouvez le voir à partir des informations ci-dessus, il existe un certain nombre de problèmes clairs avec Zoom. Cependant, les développeurs corrigent régulièrement des bugs système et des failles de sécurité. Il est également de la responsabilité des utilisateurs de Zoom de préserver leur confidentialité. Le respect des réglementations aidera les clients à protéger leurs données.