Il n’y a pas si longtemps Skype et Google HangOut régnaient en maître sur le domaine de la visioconférence. Peu utilisés et assez nichés, ces services avaient tous leurs lots de problèmes d’accessibilité et de qualité de rendus, ce qui limitait leur potentiel de devenir réellement grand public.
Il y a 2 ans, Zoom était un très petit joueur. Peu connu et utilisé. Avec sa qualité audio et vidéo et sa facilité d’accès, il avait tout pour réussir et pourtant…
Ce n’est qu’à l’orée de la pandémie que la petite application est devenue grande. Peut-être même un peu trop vite.
Son changement de statut, passant de négligé avec ses 10 millions d’abonnés en décembre 2019 comparativement à plus de 300 millions aujourd’hui, a fait d’elle une nouvelle cible de choix à mettre sur le tableau de chasse des hackers du monde entier.
C’est ainsi que ses failles de sécurité, qui n’intéressaient jadis personne, sont devenues des enjeux majeurs pour monsieur et madame tout le monde, tout comme pour des multinationales et les gouvernements du monde entier.
Des exemples de failles
En avril 2020, une enquête du FTC, l’équivalent américain de notre agence de protection du consommateur, dévoile que Zoom a menti sur sa capacité à offrir un chiffrement global des conférences qui sont créées sur son service. Autrement dit, l’information circule entre les utilisateurs participants sans qu’une encryption adéquate et totale des données soit faite.
Durant la même enquête, d’autres mensonges de la firme furent dévoilés au grand jour comme le fait d’avoir contourné certains paramètres de sécurité mis en place sur Mac permettant l’installation automatisée du logiciel sans que l’utilisateur n’ait à faire quelque action que ce soit.
Durant l’édition d’avril 2021 de l’événement Pwn2Own, un concours de hacking, 2 participants dénichent une faille permettant de s’introduire dans l’ordinateur d’une personne ayant le client Zoom actif sur son ordinateur. Contrôle du micro et de la caméra, saisie d’historique de navigation et même grappillage de fichiers personnels étaient ainsi possibles. Les gentils hackers (surnommés White Hat dans le jargon) ont reçu une prime de 200 000$ de Zoom pour avoir déniché ce problème.
En août 2021, Zoom s’engage à payer 85 millions de dollars en compensation lors d’une action collective intentée contre elle qui allègue que l’entreprise n’en a pas assez fait pour protéger les utilisateurs et leurs données.
Et on pourrait poursuivre longtemps avec d’autres exemples.
Mais aujourd’hui, c’est réglé?
On ne peut malheureusement pas vous le garantir.
Comme mentionné en préambule de ce texte, la popularité de Zoom en fait une cible très intéressante pour les hackers. Il est donc logique que sa sécurité soit mise à rude épreuve, et ce, constamment.
Par exemple, Google, la Croix-Rouge et le gouvernement de la France déconseillent de l’utiliser.
Si c’est possible pour vous, faites-le.
Sinon, voici comment vous protéger au maximum:
- Utilisez la version web de Zoom. La couche de protection supplémentaire offerte par votre navigateur est assurément la bienvenue.
- Augmentez la protection de votre compte en instaurant l’authentification à double facteur. Ne soyez pas la faille la plus importante de votre Zoom.
- Demandez aux participants de vos conférences de se brancher en utilisant un mot de passe sur votre session.
Nous vous souhaitons de bonnes visioconférences, utiles, efficaces et surtout sécuritaires!
Source : https://insecm.ca/zoom-sur-la-securite-de-zoom/
In-Sec-M