IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Zoom divulguerait les adresses mail et photos des utilisateurs
Et permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus

Le , par Bill Fassinou

938PARTAGES

4  0 
À l’heure où l’épidémie du Covid-19 force la plus grande expérience de télétravail au monde, certaines applications devant permettre ce mode de travail ne semblent pas totalement préparées à un changement aussi radical dans la société. Zoom, l’une des applications de visioconférence qui ont vu leur popularité explosée depuis le début de la crise, affiche à présent des failles de sécurités graves. Selon le rapport du média américain, Zoom divulguerait les informations personnelles des utilisateurs, notamment leurs adresses mails, leurs photos, etc.

Zoom est un outil de visioconférence développée par l’entreprise américaine Zoom Video Communication. Selon un récent rapport, Zoom divulguerait apparemment les adresses mail et photos des utilisateurs. Il permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus à cause de la façon dont l’entreprise gère les contacts. Cela fait en sorte que l'application perçoit certains utilisateurs comme étant des travailleurs de la même organisation. La faille de sécurité réside au niveau du paramètre “Annuaire d’entreprise” de Zoom.

Il ajoute automatiquement d'autres personnes aux listes de contacts d'un utilisateur si elles se sont inscrites avec une adresse électronique qui partage le même domaine. L'idée est de faciliter la recherche d'un collègue spécifique à joindre si le domaine appartient à une entreprise individuelle. Mais plusieurs utilisateurs de Zoom disent s'être inscrits avec des adresses électroniques personnelles, et Zoom les a regroupées avec des milliers d'autres personnes comme s'ils travaillaient tous pour la même entreprise, exposant leurs informations personnelles les uns aux autres.


Cela signifie qu'un utilisateur concerné peut voir les adresses e-mail personnelles et les photos des personnes ayant le même domaine dans son annuaire d'entreprise, même si aucune de ces personnes n'est en fait un collègue. Actuellement, les analystes ne savent pas dans quelle mesure ce problème est répandu ni combien de domaines peuvent être concernés. Toutefois, le rapport contient comme illustration une capture d’écran d’un compte utilisateur avec 995 comptes dans son annuaire d'entreprise. Le concerné a indiqué certains domaines avec lesquels il a eu le problème.

Il a déclaré avoir rencontré le problème avec les domaines xs4all.nl, dds.nl et quicknet.nl. Il s’agit de domaines de messageries électroniques qui appartiennent tous à des fournisseurs d’accès néerlandais. « J'ai été choqué par cela ! Je me suis abonné (avec un pseudonyme, heureusement) et j'ai vu 995 personnes qui me sont totalement inconnues avec leurs noms, images et adresses mail », a déclaré Barend Gehrels, l’utilisateur de Zoom qui a été touché par le problème et qui l'a signalé dans un mail envoyé à Vice. Zoom aurait déjà résolu le problème.

Il a ajouté que sa partenaire avait le même problème avec un autre fournisseur de messagerie et qu'elle avait plus de 300 personnes listées dans ses propres contacts. « Si vous vous abonnez à Zoom auprès d'un fournisseur non standard (je veux dire, pas Gmail ou Hotmail ou Yahoo, etc.), alors vous obtenez un aperçu de tous les utilisateurs abonnés de ce fournisseur : leurs noms complets, leurs adresses e-mail, leur photo de profil (s'ils en ont) et leur statut. Et vous pouvez les appeler par vidéo », a déclaré Gehrels dans son courrier électronique.

D’après le rapport, d’autres utilisateurs ont déclaré sur Twitter avoir rencontré le même problème avec d’autres fournisseurs d’accès Internet néerlandais (FAI). Le FAI néerlandais XS4ALL a tweeté en réponse à une plainte déposée dimanche : « C'est quelque chose que nous ne pouvons pas désactiver. Vous pourriez voir si Zoom peut vous aider à ce sujet ». De son côté, Zoom a déclaré avoir mis ces domaines sur une liste noire après avoir été averti du problème. « Zoom maintient une liste noire de domaines et identifie régulièrement de manière proactive les domaines à ajouter », a déclaré un porte-parole de Zoom.

Il possède également une page où les utilisateurs peuvent demander qu’un domaine soit mis sur liste noire. Zoom a un bilan mitigé en matière de sécurité. En juillet dernier, un chercheur en sécurité a découvert qu'un site Web malveillant pouvait ouvrir un appel vidéo de Zoom sur des Macs sans l'autorisation d'un utilisateur. La société a rapidement mis à jour son logiciel et a désinstallé un serveur Web local qui a créé la vulnérabilité. Check Point Research a publié en janvier un rapport sur une faille qui aurait permis aux pirates d'écouter les appels.

Par ailleurs, Zoom a récemment confirmé que ses appels vidéo ne sont pas réellement cryptés de bout en bout, malgré ce que son site Web prétend. La semaine dernière, Zoom a mis à jour la version iOS de son application lorsqu’il a été signalé qu'elle envoyait des données analytiques à Facebook. Lundi, un utilisateur a intenté une action collective contre Zoom pour le transfert de données. Le même jour, le procureur général de New York a envoyé une lettre à Zoom pour lui demander quelles mesures de sécurité la société avait mises en place, l'application ayant connu une montée en flèche de sa popularité.

Source : Fonctionnalité "Annuaire d'entreprise"

Et vous ?

Qu'en pensez-vous ?

Voir aussi

En Chine, le coronavirus force la plus grande expérience de travail à domicile au monde, le télétravail semble être la seule solution dont disposent les entreprises

Les réunions sur Zoom ne supportent pas le chiffrement de bout en bout. Zoom a donc la capacité technique d'espionner les réunions vidéo privées

Ordinateurs Mac : une faille de sécurité zero-day a été détectée sur le logiciel zoom et pourrait permettre aux sites Web de détourner la caméra

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Arb01s
Membre du Club https://www.developpez.com
Le 03/08/2021 à 21:22
Si on veut vraiment de la sécurité, on génère soi-même sa paire publique/privée, on se l'échange par un moyen détourné (pitié, pas en clair par mail), puis on utilise une solution de communication fiable (ProtonMail, Thunderbird, Jami (Ring), Mumble... du logiciel libre ou des acteurs étiques)
L'avantage justement du chiffrement asymétrique et des clés publiques et privées est que l'on peut s’échanger nos clés PUBLIQUES par un medium non chiffré, car c'est justement une clé publique. A contrario, la clef privée ne doit jamais être communiquée à personne, même à nos interlocuteurs de confiance.
4  0 
Avatar de pboulanger
Membre éprouvé https://www.developpez.com
Le 31/08/2023 à 9:33
A l'heure des grands openspaces le télétravail permet de travailler dans un environnement plus serein (moins bruyant) tout en évitant de perdre du temps dans les transports (aller/retour au bureau me coûte 2h30 de transports en commun quand tout va bien). Le télétravail est donc plus intéressant pour ce qui nécessite de la concentration mais il faut faire attention de ne pas se laisser distraire par l'environnement (TV, radio, enfants, etc...): il faut donc une certaine maturité ou volonté.
Malheureusement le télétravail nuit à l'esprit d'équipe: les membres ont moins de contact, ne se voient pas et ont moins d'événements qui permettent de créer une cohésion. La pause café au bureau est souvent un moment de partage et d'échange qui permet de connaître ses collègues et de créer du lien qui transcende l'aspect purement travail. Alors il y a des cafés virtuels et des échanges standards mais, personnellement, je trouve que ça n'a ni le même charme ni le même effet sur l'équipe. Et dans mon passé, j'ai de nombreux souvenirs sur la pause café qui a permet de résoudre des problèmes de travail ou permis de faire émerger des idées.
5  1 
Avatar de Leruas
Membre éclairé https://www.developpez.com
Le 08/08/2023 à 18:20
La blague... ils vivent grâce au télétravail mais ça va être interdit chez eux
3  0 
Avatar de Eric80
Membre éclairé https://www.developpez.com
Le 08/04/2020 à 15:17
Teams est utlisé depuis un bon moment déjà ds bcp d entreprises, donc il est probable que les failles de sécurités y soient analysées aussi depuis plus longtemps.

Je trouve hallucinant comment zoom est devenue LA plateforme en quelques semaines, et que tout le monde s'y met avec des failles aussi béantes que ce zoombombing.
Preuve que > 80% (à la louche) des utilisateurs ne se soucient guère des pbs de sécurité, car ils n y sont pas initiés.

QQues pistes sur la popularité de Zoom:
https://www.businessinsider.com/zoom...?r=US&IR=T

Avec le renaming de Office 365 en Microsoft 365, Teams devient offert au gd public: probable que le succès de Zoom et surtout le confinement généralisé sont des motivations fortes pour MS de fournir Teams pour tous.
2  0 
Avatar de defZero
Membre extrêmement actif https://www.developpez.com
Le 10/11/2020 à 18:57
Petit rappel de bon sens : le chiffrement de bout en bout sert uniquement à protéger les éditeurs d'éventuelles poursuites judiciaires au cas où leur logiciel serait utilisé à mauvais escient.
Ils peuvent ainsi prétendre ne pas savoir ce qui se tramait sur leur plateforme.
On l'a vu avec Encrochat, il est techniquement et légalement possible d'intercepter les discussions qui transitent sur ces messageries en cas de besoin.
@Jeff_67
Sauf que le chiffrement de bout en bout "bien implémenté", devrait justement rendre impossible toute interception par un tiers puisqu'elle doit être faite en P2P entre les intervenants de la communication sans passer par un serveur centrale.
Le seule moyen de "percer" le chiffrement serait d'avoir la main sur l'un des intervenants de la communication qui doit bien détenir les clés de déchiffrements pour consulter les messages en clair.
Donc que ce soit techniquement ou légalement, c'est juste impossible de d’exiger d'un tiers d'intercepter les communications, puis qu’à la base il n'a aucun moyen d'y accéder en clair, si implémenté dans les règles sans portes dérobés et sans algo de cryptage troués.
2  0 
Avatar de calvaire
Expert éminent https://www.developpez.com
Le 31/08/2023 à 11:27
Moi je bois pas de café j'ai horreur de ca et je fume pas, donc pas de pause café et de pause clope.
je préfère faire le minimum de pause pour rentrer le plus vite chez moi.

les afterwork, je n'y vais jamais ça me fait chier.

Donc les rencontres à la pause clope/café ou au afterwork ne m'ont jamais concernés.

Les seuls interactions que j'ai pendant le déjeuner, et on discute jamais boulot.
on parle des loisirs/de ce qu'on a fait le weekend/pendant les vacances, de politique mais aussi.... des augmentations qu'on a pas, on parle du collègue qui a démissionner et si on faisait pareil quel salaire on peut avoir, de la direction qui fait vraiment de la merde...etc.

J'ai 3 jours de télétravail/semaines et je suis bien dans mon taff et je suis pas en environnement toxique, ce que je veux dire c'est que les discussions entre collègue c'est pas toujours pour apporter de nouvelles idées mais c'est aussi et souvent pour se plaindre du mauvais salaire qui augmente pas alors que le pdg lui a été augmenté de 30 millions, des mauvais outils ou des mauvaises décisions de la boite.

le télétravail permet aussi d'éviter de ce plaindre et d'une certaine façon d’être plus fidèle à l'employeur.

j'ai connu ca il y'a 10ans, dans une grosse boite du cac40, ca faisait 3 ans qu'on avait pas été augmenté et les nouveaux collègues qui venait d’être embauché été mieux payé que nous... du coups a force d'en discuter entre membre de l'équipe (7 personnes) on a tous démissionner quasiment au même moment. Le PO sait retrouvé tout seul et a du vite embaucher et refaire une équipe.
en full remote cette situation ne se serait pas produite.
4  2 
Avatar de palnap
Membre averti https://www.developpez.com
Le 31/08/2023 à 12:09
En même temps quand on voit leur produit phare... Ça laisse un doute 😅

Cf. https://ifuckinghatejira.com/
2  0 
Avatar de el_slapper
Expert éminent sénior https://www.developpez.com
Le 08/04/2020 à 7:54
ma boite (américaine) vient de proscrire Zoom pour les communications internes. Je suppose que ce n'est pas un hasard. On utilise Teams- mais je ne sais pas si c'est plus sécurisé, ou si les failles ne sont pas encore connues...
1  0 
Avatar de
https://www.developpez.com
Le 11/11/2020 à 7:03
Citation Envoyé par defZero Voir le message
Sauf que le chiffrement de bout en bout "bien implémenté", devrait justement rendre impossible toute interception par un tiers puisqu'elle doit être faite en P2P entre les intervenants de la communication sans passer par un serveur centrale.
Le seule moyen de "percer" le chiffrement serait d'avoir la main sur l'un des intervenants de la communication qui doit bien détenir les clés de déchiffrements pour consulter les messages en clair.
Donc que ce soit techniquement ou légalement, c'est juste impossible de d’exiger d'un tiers d'intercepter les communications, puis qu’à la base il n'a aucun moyen d'y accéder en clair, si implémenté dans les règles sans portes dérobés et sans algo de cryptage troués.
En l’occurence, dans l’affaire Encrochat, la gendarmerie a eu légalement accès aux serveurs situés en France grâce à une commission rogatoire pour diffuser un malware et trouer la sécurité des terminaux à l’insu des usagers. Aux USA, c’est encore mieux, le Patriot Act peut contraindre les entreprises à trouer la sécurité de leurs logiciels avec interdiction de le dévoiler publiquement.
1  0 
Avatar de Aesir
Membre du Club https://www.developpez.com
Le 24/08/2023 à 9:43
De toute façon, managers comme CEO ne servent à rien si ce n'est être payés plus et faire les coqs entre eux
2  1