À l’heure où l’épidémie du Covid-19 force la plus grande expérience de télétravail au monde, certaines applications devant permettre ce mode de travail ne semblent pas totalement préparées à un changement aussi radical dans la société. Zoom, l’une des applications de visioconférence qui ont vu leur popularité explosée depuis le début de la crise, affiche à présent des failles de sécurités graves. Selon le rapport du média américain, Zoom divulguerait les informations personnelles des utilisateurs, notamment leurs adresses mails, leurs photos, etc.
Zoom est un outil de visioconférence développée par l’entreprise américaine Zoom Video Communication. Selon un récent rapport, Zoom divulguerait apparemment les adresses mail et photos des utilisateurs. Il permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus à cause de la façon dont l’entreprise gère les contacts. Cela fait en sorte que l'application perçoit certains utilisateurs comme étant des travailleurs de la même organisation. La faille de sécurité réside au niveau du paramètre “Annuaire d’entreprise” de Zoom.
Il ajoute automatiquement d'autres personnes aux listes de contacts d'un utilisateur si elles se sont inscrites avec une adresse électronique qui partage le même domaine. L'idée est de faciliter la recherche d'un collègue spécifique à joindre si le domaine appartient à une entreprise individuelle. Mais plusieurs utilisateurs de Zoom disent s'être inscrits avec des adresses électroniques personnelles, et Zoom les a regroupées avec des milliers d'autres personnes comme s'ils travaillaient tous pour la même entreprise, exposant leurs informations personnelles les uns aux autres.
Cela signifie qu'un utilisateur concerné peut voir les adresses e-mail personnelles et les photos des personnes ayant le même domaine dans son annuaire d'entreprise, même si aucune de ces personnes n'est en fait un collègue. Actuellement, les analystes ne savent pas dans quelle mesure ce problème est répandu ni combien de domaines peuvent être concernés. Toutefois, le rapport contient comme illustration une capture d’écran d’un compte utilisateur avec 995 comptes dans son annuaire d'entreprise. Le concerné a indiqué certains domaines avec lesquels il a eu le problème.
Il a déclaré avoir rencontré le problème avec les domaines xs4all.nl, dds.nl et quicknet.nl. Il s’agit de domaines de messageries électroniques qui appartiennent tous à des fournisseurs d’accès néerlandais. « J'ai été choqué par cela ! Je me suis abonné (avec un pseudonyme, heureusement) et j'ai vu 995 personnes qui me sont totalement inconnues avec leurs noms, images et adresses mail », a déclaré Barend Gehrels, l’utilisateur de Zoom qui a été touché par le problème et qui l'a signalé dans un mail envoyé à Vice. Zoom aurait déjà résolu le problème.
Il a ajouté que sa partenaire avait le même problème avec un autre fournisseur de messagerie et qu'elle avait plus de 300 personnes listées dans ses propres contacts. « Si vous vous abonnez à Zoom auprès d'un fournisseur non standard (je veux dire, pas Gmail ou Hotmail ou Yahoo, etc.), alors vous obtenez un aperçu de tous les utilisateurs abonnés de ce fournisseur : leurs noms complets, leurs adresses e-mail, leur photo de profil (s'ils en ont) et leur statut. Et vous pouvez les appeler par vidéo », a déclaré Gehrels dans son courrier électronique.
D’après le rapport, d’autres utilisateurs ont déclaré sur Twitter avoir rencontré le même problème avec d’autres fournisseurs d’accès Internet néerlandais (FAI). Le FAI néerlandais XS4ALL a tweeté en réponse à une plainte déposée dimanche : « C'est quelque chose que nous ne pouvons pas désactiver. Vous pourriez voir si Zoom peut vous aider à ce sujet ». De son côté, Zoom a déclaré avoir mis ces domaines sur une liste noire après avoir été averti du problème. « Zoom maintient une liste noire de domaines et identifie régulièrement de manière proactive les domaines à ajouter », a déclaré un porte-parole de Zoom.
Il possède également une page où les utilisateurs peuvent demander qu’un domaine soit mis sur liste noire. Zoom a un bilan mitigé en matière de sécurité. En juillet dernier, un chercheur en sécurité a découvert qu'un site Web malveillant pouvait ouvrir un appel vidéo de Zoom sur des Macs sans l'autorisation d'un utilisateur. La société a rapidement mis à jour son logiciel et a désinstallé un serveur Web local qui a créé la vulnérabilité. Check Point Research a publié en janvier un rapport sur une faille qui aurait permis aux pirates d'écouter les appels.
Par ailleurs, Zoom a récemment confirmé que ses appels vidéo ne sont pas réellement cryptés de bout en bout, malgré ce que son site Web prétend. La semaine dernière, Zoom a mis à jour la version iOS de son application lorsqu’il a été signalé qu'elle envoyait des données analytiques à Facebook. Lundi, un utilisateur a intenté une action collective contre Zoom pour le transfert de données. Le même jour, le procureur général de New York a envoyé une lettre à Zoom pour lui demander quelles mesures de sécurité la société avait mises en place, l'application ayant connu une montée en flèche de sa popularité.
Source : Fonctionnalité "Annuaire d'entreprise"
Et vous ?
Qu'en pensez-vous ?
Voir aussi
En Chine, le coronavirus force la plus grande expérience de travail à domicile au monde, le télétravail semble être la seule solution dont disposent les entreprises
Les réunions sur Zoom ne supportent pas le chiffrement de bout en bout. Zoom a donc la capacité technique d'espionner les réunions vidéo privées
Ordinateurs Mac : une faille de sécurité zero-day a été détectée sur le logiciel zoom et pourrait permettre aux sites Web de détourner la caméra
Zoom divulguerait les adresses mail et photos des utilisateurs
Et permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus
Zoom divulguerait les adresses mail et photos des utilisateurs
Et permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus
Le , par Bill Fassinou
Une erreur dans cette actualité ? Signalez-nous-la !