IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le Zoombombing, le fait de s'introduire dans les réunions publiques de Zoom sans y être invité, est un crime, pas une farce,
Avertissent les autorités US

Le , par Bill Fassinou

773PARTAGES

5  0 
Zoom a très vite atteint la barre des 200 millions d’utilisateurs par jour pendant les trois derniers mois où la pandémie du Covid-19 force une bonne partie des travailleurs à exercer en télétravail. Toutefois, ce boom a aussi contribué à exposer au grand jour un nombre considérable de failles de sécurité dont souffre Zoom. L’une d’entre elles, connue sous le nom de Zoombombing, permet aux attaquants de s’introduire dans les appels vidéo d’autres utilisateurs sans y être invités. Pour lutter contre cela, l’État du Michigan a annoncé qu’il considère désormais cela comme un crime.

Le Zoombombing, qu'est-ce que c'est ?

Selon certains analystes, Zoom est actuellement l'application Apple et Android la plus populaire au monde, et son cours a plus que doublé depuis fin janvier, une hausse particulièrement impressionnante si l'on tient compte du krach boursier qui s'est également produit pendant cette période. Mais l’une des menaces qui pourraient le faire totalement plonger est le “Zoombombing”. D’où vient cette faille et comment les pirates l’exploitent-ils ? Cette faille aurait été découverte au même moment que celle qui avait frappé le client Mac de l’application en janvier dernier.

Cette vulnérabilité pouvait pousser les utilisateurs de Mac qui ont (ou ont déjà eu) Zoom installé sur leur appareil à se joindre à des réunions Zoom avec leurs caméras automatiquement activées. Au cours du mois de janvier, la société de cybersécurité Check Point a montré qu’un pirate peut générer facilement des numéros d'identification de réunion actifs, qu'il peut ensuite utiliser pour se joindre aux réunions si celles-ci n'étaient pas protégées par un mot de passe. Zoom a apporté un certain nombre de modifications pour résoudre le problème avec les Mac.


Cependant, la recommandation de Check Point qui demande que les réunions soient protégées par un mot de passe n’a pas été prise en compte par Zoom. Résultat, le Zoombombing a vu le jour et les appels vidéo peuvent rapidement être transformés en séance de visionnage de vidéos peu recommandables. Selon les informations sur le Zoombombing, les réunions publiques de Zoom sont rejointes par un troll qui diffuse des choses comme du porno et des images nazies au reste des participants. La seule façon d’arrêter la diffusion est de couper l’appel.

Il existe des moyens d'atténuer ce problème, comme la protection des réunions par un mot de passe ou la limitation du partage d'écran à l'hôte de la réunion. Mais le fait qu'il soit si facile pour quiconque de se joindre à une réunion publique de Zoom et de la perturber ensuite indique que les développeurs de l’application n'avaient pas prévu que les réunions pouvaient être perturbées à ce point. C’est une chose que toute personne ayant déjà utilisé Internet aurait dû prévoir. Plusieurs procureurs ont saisi Zoom pour savoir comment la société compte arranger la situation.

Le Zoombombing désormais considéré comme un crime dans certains États aux USA

Dans l’heure, d’autres États ont commencé par prendre des mesures pour lutter contre le Zoombombing en attendant que Zoom fasse un effort pour sécuriser au mieux son application. Le Zoombombing est désormais considéré comme un crime dans ces États. Vendredi passé, les procureurs fédéraux du Michigan ont averti le public à travers une déclaration que le Zoombombing n'est pas une plaisanterie bénigne, mais bien évidemment un crime. Les autorités étatiques ont mentionné que la décision découle d’une investigation menée par le FBI pendant la semaine écoulé.

« Les pirates informatiques perturbent les conférences et les salles de classe en ligne avec des images pornographiques et/ou haineuses et un langage menaçant », a déclaré le bureau du procureur américain pour le district Est du Michigan. « Toute personne qui pirate une téléconférence peut être accusée de délits d'État ou fédéraux », a ajouté le bureau. À en croire la note des procureurs, la sanction qui frappera un attaquant qui utilise le Zoombombing sera proportionnelle à la façon dont il s’est introduit dans la réunion et ce qu’il a fait pour la perturber.

Il faut savoir qu’il y a des réunions Zoom dites publiques, ce qui peut rendre difficile l'inculpation d'intrusion informatique. Mais, une personne pourrait quand même être poursuivie pour des choses qu'elle a dites ou faites pour perturber la réunion après l'avoir rejointe. Par ailleurs, il est possible de protéger les réunions grâce à un mot de passe. Cependant, il est totalement déconseillé d'annoncer les informations de connexion sur les médias sociaux ou d'autres canaux publics. La sanction d’une intrusion dans une vidéoconférence privée peut être très sévère.

« Vous trouvez que le Zoombombing est drôle ? Voyons à quel point c'est drôle après votre arrestation », a déclaré Matthew Schneider, avocat américain du Michigan, dans la note du vendredi. « Si vous interférez avec une téléconférence ou une réunion publique dans le Michigan, les forces de l'ordre fédérales, étatiques ou locales pourraient frapper à votre porte », a-t-il ajouté. Les autorités fédérales ont partagé dans la note quelques mesures pouvant être prises pour atténuer les impacts des menaces liées aux téléconférences :

  • ne pas rendre les réunions ou les cours publics. Dans Zoom, il existe deux options pour rendre une réunion privée. Exiger un mot de passe pour la réunion ou utiliser la fonction de salle d'attente et contrôler l'admission des invités ;
  • ne pas partager un lien menant vers une téléconférence ou une salle de classe dans un poste de média social accessible au public sans restriction. Fournissez directement le lien aux personnes qui sont concernées par la réunion ou par la classe ;
  • ne pas gérer les options de partage d'écran dans Zoom, changez le partage d'écran en “Hôte seulement” ;
  • s'assurer que les utilisateurs utilisent la version mise à jour des applications d'accès/réunion à distance. En janvier 2020, Zoom a mis à jour son logiciel. Dans cette mise à jour de sécurité, Zoom a ajouté des mots de passe par défaut pour les réunions et a désactivé la possibilité de rechercher aléatoirement les réunions auxquelles on souhaite participer ;
  • enfin, assurez-vous que la politique ou le guide de votre organisation en matière de télétravail répond aux exigences de sécurité physique et de sécurité de l'information.

Source : La note des procureurs

Et vous ?

Quel est votre avis sur le sujet ?
Partagez-vous le même point de vue que les procureurs ou pas ? Pourquoi ?

Voir aussi

Zoom annonce un gel des fonctionnalités pendant 90 jours pour résoudre les problèmes de confidentialité et de sécurité, alors que l'application a atteint 200 millions d'utilisateurs quotidiens

Les réunions sur Zoom ne supportent pas le chiffrement de bout en bout. Zoom a donc la capacité technique d'espionner les réunions vidéo privées

Un ancien hacker de la NSA découvre une faille dans Zoom permettant de prendre le contrôle des Mac, notamment la webcam, le micro et l'accès root. Elon Musk interdit à ses employés de l'utiliser

Zoom divulguerait les adresses mail et photos des utilisateurs et permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Arb01s
Nouveau membre du Club https://www.developpez.com
Le 03/08/2021 à 21:22
Si on veut vraiment de la sécurité, on génère soi-même sa paire publique/privée, on se l'échange par un moyen détourné (pitié, pas en clair par mail), puis on utilise une solution de communication fiable (ProtonMail, Thunderbird, Jami (Ring), Mumble... du logiciel libre ou des acteurs étiques)
L'avantage justement du chiffrement asymétrique et des clés publiques et privées est que l'on peut s’échanger nos clés PUBLIQUES par un medium non chiffré, car c'est justement une clé publique. A contrario, la clef privée ne doit jamais être communiquée à personne, même à nos interlocuteurs de confiance.
4  0 
Avatar de Eric80
Membre confirmé https://www.developpez.com
Le 08/04/2020 à 15:17
Teams est utlisé depuis un bon moment déjà ds bcp d entreprises, donc il est probable que les failles de sécurités y soient analysées aussi depuis plus longtemps.

Je trouve hallucinant comment zoom est devenue LA plateforme en quelques semaines, et que tout le monde s'y met avec des failles aussi béantes que ce zoombombing.
Preuve que > 80% (à la louche) des utilisateurs ne se soucient guère des pbs de sécurité, car ils n y sont pas initiés.

QQues pistes sur la popularité de Zoom:
https://www.businessinsider.com/zoom...?r=US&IR=T

Avec le renaming de Office 365 en Microsoft 365, Teams devient offert au gd public: probable que le succès de Zoom et surtout le confinement généralisé sont des motivations fortes pour MS de fournir Teams pour tous.
2  0 
Avatar de defZero
Membre extrêmement actif https://www.developpez.com
Le 10/11/2020 à 18:57
Petit rappel de bon sens : le chiffrement de bout en bout sert uniquement à protéger les éditeurs d'éventuelles poursuites judiciaires au cas où leur logiciel serait utilisé à mauvais escient.
Ils peuvent ainsi prétendre ne pas savoir ce qui se tramait sur leur plateforme.
On l'a vu avec Encrochat, il est techniquement et légalement possible d'intercepter les discussions qui transitent sur ces messageries en cas de besoin.
@Jeff_67
Sauf que le chiffrement de bout en bout "bien implémenté", devrait justement rendre impossible toute interception par un tiers puisqu'elle doit être faite en P2P entre les intervenants de la communication sans passer par un serveur centrale.
Le seule moyen de "percer" le chiffrement serait d'avoir la main sur l'un des intervenants de la communication qui doit bien détenir les clés de déchiffrements pour consulter les messages en clair.
Donc que ce soit techniquement ou légalement, c'est juste impossible de d’exiger d'un tiers d'intercepter les communications, puis qu’à la base il n'a aucun moyen d'y accéder en clair, si implémenté dans les règles sans portes dérobés et sans algo de cryptage troués.
2  0 
Avatar de el_slapper
Expert éminent sénior https://www.developpez.com
Le 08/04/2020 à 7:54
ma boite (américaine) vient de proscrire Zoom pour les communications internes. Je suppose que ce n'est pas un hasard. On utilise Teams- mais je ne sais pas si c'est plus sécurisé, ou si les failles ne sont pas encore connues...
1  0 
Avatar de Jeff_67
Membre chevronné https://www.developpez.com
Le 11/11/2020 à 7:03
Citation Envoyé par defZero Voir le message
Sauf que le chiffrement de bout en bout "bien implémenté", devrait justement rendre impossible toute interception par un tiers puisqu'elle doit être faite en P2P entre les intervenants de la communication sans passer par un serveur centrale.
Le seule moyen de "percer" le chiffrement serait d'avoir la main sur l'un des intervenants de la communication qui doit bien détenir les clés de déchiffrements pour consulter les messages en clair.
Donc que ce soit techniquement ou légalement, c'est juste impossible de d’exiger d'un tiers d'intercepter les communications, puis qu’à la base il n'a aucun moyen d'y accéder en clair, si implémenté dans les règles sans portes dérobés et sans algo de cryptage troués.
En l’occurence, dans l’affaire Encrochat, la gendarmerie a eu légalement accès aux serveurs situés en France grâce à une commission rogatoire pour diffuser un malware et trouer la sécurité des terminaux à l’insu des usagers. Aux USA, c’est encore mieux, le Patriot Act peut contraindre les entreprises à trouer la sécurité de leurs logiciels avec interdiction de le dévoiler publiquement.
1  0 
Avatar de Jeff_67
Membre chevronné https://www.developpez.com
Le 10/11/2020 à 14:51
Petit rappel de bon sens : le chiffrement de bout en bout sert uniquement à protéger les éditeurs d'éventuelles poursuites judiciaires au cas où leur logiciel serait utilisé à mauvais escient. Ils peuvent ainsi prétendre ne pas savoir ce qui se tramait sur leur plateforme. On l'a vu avec Encrochat, il est techniquement et légalement possible d'intercepter les discussions qui transitent sur ces messageries en cas de besoin.
0  0 
Avatar de Steinvikel
Membre expert https://www.developpez.com
Le 13/11/2020 à 23:54
Citation Envoyé par defZero Voir le message
Sauf que le chiffrement de bout en bout "bien implémenté", devrait justement rendre impossible toute interception par un tiers puisqu'elle doit être faite en P2P entre les intervenants de la communication sans passer par un serveur centrale.
Le seule moyen de "percer" le chiffrement serait d'avoir la main sur l'un des intervenants de la communication qui doit bien détenir les clés de déchiffrements pour consulter les messages en clair.
Donc que ce soit techniquement ou légalement, c'est juste impossible de d’exiger d'un tiers d'intercepter les communications, puis qu’à la base il n'a aucun moyen d'y accéder en clair, si implémenté dans les règles sans portes dérobés et sans algo de cryptage troués.
En fait pas exactement. Le chiffrement est dit de bout en bout, mais puisque les 2 paires de clés publique/privé sont délivrées par l'éditeur, et utilisées par son outil, le tout à travers son infrastructure (service centralisé), au final ce n'est de bout en bout que jusqu'à ce qu'il décide d'utiliser les clés pour analyser la communication coté serveur avant de la router au destinataire... le trou de sécurité tient simplement du fait que le serveur qui route les paquets a connaissance des clés utilisées pour chiffrer comme pour déchiffrer.
C'est pareil pour les mail chiffrés de Google... ou n'importe quel mise en oeuvre de chiffrement qui s'appuie sur un service centralisé qui est en charge de générer lui-même les clés de chiffrement des 2 acteurs de la communication. Tout acteur vous prônant le contraire ne fait qu'émettre des promesses.

Si on veut vraiment de la sécurité, on génère soi-même sa paire publique/privée, on se l'échange par un moyen détourné (pitié, pas en clair par mail), puis on utilise une solution de communication fiable (ProtonMail, Thunderbird, Jami (Ring), Mumble... du logiciel libre ou des acteurs étiques)
0  0 
Avatar de p@radox
Membre du Club https://www.developpez.com
Le 05/08/2021 à 19:07
Citation Envoyé par Arb01s Voir le message
L'avantage justement du chiffrement asymétrique et des clés publiques et privées est que l'on peut s’échanger nos clés PUBLIQUES par un medium non chiffré, car c'est justement une clé publique. A contrario, la clef privée ne doit jamais être communiquée à personne, même à nos interlocuteurs de confiance.
oui et ajouterais que " une solution de communication fiable " n'est justement PAS l'email que ce soit proton ou gmail !
0  0 
Avatar de NicoTips
Candidat au Club https://www.developpez.com
Le 05/08/2021 à 20:05
Pour information, la NSA diffusé en novembre 2020 un comparatif de 17 solutions collaboratives, le problème de Zoom y est mentionné dans la table en page 5:
https://media.defense.gov/2020/Aug/1...L_20200814.PDF
On y découvre que peu de solutions proposent l'encryptage end-to-end.
0  0 
Avatar de gerard093
Membre actif https://www.developpez.com
Le 08/08/2021 à 10:02
J'ai été convié à deux réunions avec zoom, l'une dans le cadre de la présentation de formation à distance pendant le covid, la seconde pour le conseil en gestion personnelle. Ces deux réunions utilisaient zoom.

Après des difficultés de connexion, la conversation est devenue hachée. Puis mon poste a subi une attaque avec perte de contrôle clavier et souris. On peut donc suspecter une attaque par deni de service.

Dans chaque cas, ma participation aux réunions s'est soldée par un échec. Je suis utilisateur de firefox.

Pour l'instant zoom est la seule plate forme à m'avoir déçu.

Bon. En partant d'en bas, on ne peut que s'améliorer ...
0  0