Nous avons demandé à Zoom: Zoom est-il sécurisé?

D’une part, nous voyons un logiciel de chat vidéo très populaire, d’autre part, des préoccupations croissantes concernant la sécurité et la confidentialité; cela amène une question à l’esprit: Zoom est-il sécurisé?

Zoom a augmenté le nombre d’utilisateurs de réunions quotidiennes de 10 millions en décembre 2019 à 300 millions en avril 2020. Avec cet immense intérêt, nous avons voulu poser certaines des questions qui viennent à l’esprit de tout le monde à Emrah Aydin, responsable marketing, Zoom Video Emerging Les marchés.

Nous avons demandé à Zoom Is Zoom sécurisé - Interview d'Emrah AydinLes chercheurs en sécurité ont annoncé que des informations personnelles étaient partagées avec des tiers tels que Facebook. Qu’avez-vous fait à ce sujet?
Nous prenons la confidentialité de nos utilisateurs très au sérieux et nous avons pris des mesures pour résoudre ce problème – pour plus d’informations, veuillez consulter notre article de blog ici.

Nous avons initialement implémenté la fonction «Connexion avec Facebook» pour fournir à nos utilisateurs un autre moyen pratique d’accéder à notre plateforme. Lorsque nous avons appris que le SDK Facebook collectait inutilement des informations sur les appareils, nous avons décidé de supprimer le SDK Facebook de notre client iOS. Il est important de noter que les informations collectées par le SDK Facebook n’incluaient pas les informations et les activités liées aux réunions, mais plutôt des informations sur les appareils tels que le type et la version du système d’exploitation mobile.

Il y avait des informations personnelles d’utilisateurs de 500K Zoom sur le Dark Web. Avons-nous volé nos données en utilisant Zoom?
Il est courant que les services Web qui servent les consommateurs soient ciblés par ce type d’activité, ce qui implique généralement que de mauvais acteurs testent un grand nombre d’informations d’identification déjà compromises à partir d’autres plates-formes pour voir si les utilisateurs les ont réutilisées ailleurs.

Ce type d’attaque n’affecte généralement pas nos grandes entreprises clientes qui utilisent leurs propres systèmes d’authentification unique. Nous avons déjà embauché plusieurs sociétés de renseignement pour trouver ces vidages de mots de passe et les outils utilisés pour les créer, ainsi qu’une entreprise qui a fermé des milliers de sites Web tentant d’inciter les utilisateurs à télécharger des logiciels malveillants ou à abandonner leurs informations d’identification.

Nous continuons à enquêter, bloquons les comptes que nous avons trouvés compromis, demandons aux utilisateurs de changer leur mot de passe en quelque chose de plus sûr et cherchons à mettre en œuvre des solutions technologiques supplémentaires pour renforcer nos efforts.

De plus, lors du webinaire «Ask Eric Anything» de Zoom le 15/04, Alex Stamos a offert un aperçu complet de l’approche de Zoom pour identifier et atténuer les instances d’identifiants de compte vendus sur le dark web. Pour plus d’informations sur la façon dont cela est fait, un enregistrement du webinaire peut être trouvé ici – avec une discussion sur ce problème commençant vers 32:29.

Zoom prend la confidentialité de ses utilisateurs très au sérieux. Zoom recueille uniquement les données des personnes utilisant la plate-forme Zoom nécessaires pour fournir le service et s’assurer qu’il est fourni efficacement dans une grande variété de paramètres dans lesquels nos utilisateurs peuvent opérer.

Nous avons demandé à Zoom Is Zoom sécurisé - Interview d'Emrah Aydin

Zoom crypte nos réunions ou pas?
Vous trouverez des informations sur les pratiques de cryptage de Zoom dans ce article de blog et dans ce papier de cryptage. Il est important de noter que tout le contenu vidéo, audio et de discussion est crypté pendant toute la durée de son transit dans le système Zoom.

Le nouveau Zoom 5.0 prend en charge le GCM AES 256 bits, l’une des normes de cryptage les plus sécurisées utilisées aujourd’hui, positionnant Zoom comme un leader du secteur en matière de sécurité de cryptage pour des communications vidéo ouvertes et interopérables à grande échelle. Zoom prévoit d’offrir un cryptage de bout en bout pour ses réunions à un moment donné dans le futur et la société a fourni une mise à jour à ce sujet lors du webinaire hebdomadaire du 15 avril. S’il vous plaît voir l’enregistrement complet ici – avec une discussion sur cette question commençant vers le 39:42.

Que faire pour ne pas vivre un incident Zoombombing?
Nous avons été profondément bouleversés d’entendre parler de ces types d’incidents. Zoom condamne fermement un tel comportement et a récemment mis à jour plusieurs fonctionnalités pour aider nos utilisateurs à protéger plus facilement leurs réunions.

Nous avons activé les mots de passe de réunion et les salles d’attente virtuelles par défaut pour les utilisateurs inscrits à notre programme K-12, ainsi que nos utilisateurs Free Basic et Single Pro. Pour les utilisateurs inscrits à notre programme K-12, nous avons également mis à jour les paramètres de partage d’écran par défaut pour nous assurer que les enseignants sont les seuls à pouvoir partager du contenu en classe.

Nous avons demandé à Zoom Is Zoom sécurisé - Interview d'Emrah Aydin

Pour tous les utilisateurs, nous avons rendu l’ID de réunion Zoom moins visible pour empêcher le partage involontaire, et nous avons ajouté une nouvelle icône de sécurité aux commandes de réunion Zoom pour tous les hôtes pour les aider à accéder rapidement aux fonctionnalités de sécurité en réunion, y compris la possibilité de supprimer des participants et verrouiller les réunions, entre autres actions. Dans la dernière version de Zoom, il y a une nouvelle fonctionnalité “ Signaler un utilisateur ” dans l’icône de sécurité pour les hôtes de réunion et les co-hôtes pour signaler les utilisateurs qui utilisent mal la plate-forme à notre équipe de confiance et de sécurité.

Zoom blog publié le 20 mars, avec des conseils pour les utilisateurs sur la façon d’empêcher les invités non invités de rejoindre les réunions Zoom.

Zoom est-il une entreprise chinoise? Nos données transitent-elles par la Chine et devons-nous nous en inquiéter?
Zoom est une société américaine, cotée en bourse au NASDAQ et dirigée par un citoyen américain, dont le siège est à San Jose, en Californie et des bureaux dans le monde entier. Tout le code source de Zoom est stocké et versionné aux États-Unis.

Les développeurs de logiciels de Zoom en Chine sont en grande partie gérés par notre équipe d’ingénierie aux États-Unis et ils s’acquittent de leurs responsabilités conformément aux décisions de conception et d’architecture prises par le groupe d’ingénierie américain de Zoom.

Ces développeurs en Chine n’ont aucun accès à l’environnement de production de Zoom, le pouvoir ou l’accès pour apporter des modifications substantielles à notre plate-forme ou les moyens d’accéder à tout contenu de réunion. Et, plus important encore, dans toute l’ingénierie Zoom, quel que soit l’emplacement, nos ingénieurs n’ont accès qu’au code source requis pour leur fonction particulière.

Zoom s’appuie sur un réseau mondial robuste pour soutenir nos utilisateurs, à la fois gratuits et payants, acheminant nativement le trafic à travers la zone de réunion qui fournira les meilleures performances. Bien que les modifications récentes offrent une option supplémentaire aux clients payants de Zoom, les utilisateurs gratuits continueront à être pris en charge par les centres de données dans leur région géographique par défaut où leur compte est provisionné, avec des meilleures pratiques de géorepérage supplémentaires toujours appliquées.

Il y avait des entreprises et des gouvernements interdisant Zoom et certains ont également mis en garde contre son utilisation. Que faites-vous face à ces actions?
Nous sommes en communication avec les bureaux gouvernementaux et nous nous efforçons de fournir les informations dont ils ont besoin, y compris sur notre offre personnalisée Zoom for Government, hébergée dans un cloud séparé et répondant aux spécifications particulières des politiques de sécurité de FedRAMP, afin de prendre des décisions éclairées sur leurs politiques.

Un grand nombre d’institutions mondiales allant des plus grandes sociétés de services financiers au monde aux principaux fournisseurs de télécommunications, agences gouvernementales, universités et autres ont effectué des examens de sécurité exhaustifs de nos couches utilisateur, réseau et centre de données et ont choisi Zoom en toute confiance pour un déploiement complet.

Zoom prend la sécurité des utilisateurs très au sérieux et fournit des mises à jour régulières sur les mesures que nous prenons pour renforcer davantage notre plateforme.

Il y a également une allégation selon laquelle un logiciel malveillant peut enregistrer des réunions Zoom inconnues des hôtes et des participants. Que penses-tu de cela?
Il s’agit d’un vecteur d’attaque auquel toutes les applications Windows sont sensibles – pas seulement Zoom. Pour exécuter cette attaque comme décrit, l’utilisateur doit installer lui-même un logiciel malveillant sur son propre ordinateur. Une fois en cours d’exécution, ce logiciel malveillant peut, comme tout autre logiciel malveillant, contrôler et modifier le comportement de toutes les applications exécutées localement, y compris Zoom.

Zoom a une base d’utilisateurs en croissance rapide, combien de temps vos systèmes peuvent-ils supporter cela?
Tous nos services sont actuellement pleinement opérationnels – vous pouvez vous référer à notre page de statut https://status.zoom.us pour les dernières mises à jour.

Nous sommes convaincus que notre architecture est conçue pour gérer ces niveaux d’activité croissants. Notre plate-forme de communications unifiées est entièrement conçue pour répondre à l’aspect le plus complexe sur le plan technologique des communications: la vidéo. Plus précisément: