Zoom : en réponse à plusieurs alertes de sécurité, le CEO écrit à ses utilisateurs

En réponse à plusieurs alertes de sécurité récentes, Zoom Video Communications Inc, le spécialiste de la visioconférence dans le cloud annonce les mesures prises pour corriger les failles identifiées ces derniers jours.

L’afflux d’utilisateurs pour Zoom est en pleine explosion. Pour s’en rendre compte, avant la crise sur leur plateforme c’est 500 millions de minutes par jour consommé, chaque jour en ce moment (2/04) c’est 6 milliards de minutes par jour ! On comprend donc que pour toute entreprise une telle explosion n’est pas simple, tout en garantissant la sécurité, la confidentialité et la sûreté de la plateforme. D’autant que leur plateforme a été construite principalement pour les entreprises.

Zoom n’a pas été conçu en pensant qu’en quelques semaines, chaque personne dans le monde travaillerait, étudierait et socialiserait soudainement depuis son domicile. Ils ont maintenant un ensemble beaucoup plus large de personnes qui utilisent la plateforme d’une myriade de façons inattendues. Ceci présentant des défis qui n’avaient pas été anticipés lors de sa conception. Nous avons retracé l’incroyable adoption en Europe de Zoom qui a une plateforme solide.

Alors que de plus en plus de personnes organisent leurs événements virtuels à l’aide de Zoom, il est important de comprendre que cette plateforme est complète pour une entreprise et nécessite de connaitre les paramétrages avancés qui en font une plateforme différente des concurrents !

Some fun & much needed comic relief on our @zoom_us happy hour today. 🍻 pic.twitter.com/vLpxusPeJw

— Beth Duncan (@bttopo) March 20, 2020

Plus de 90 000 écoles dans 20 pays ont accepté notre offre d’aider les enfants à poursuivre leurs études à distance. Pour replacer cette croissance dans son contexte, à la fin du mois de décembre de l’année dernière, le nombre maximum de participants aux réunions quotidiennes, gratuites ou payantes, menées sur Zoom était d’environ 10 millions. En mars de cette année, nous avons atteint plus de 200 millions de participants aux réunions quotidiennes, gratuites et payantes. Nous avons travaillé 24 heures sur 24 pour faire en sorte que tous nos utilisateurs – nouveaux et anciens, grands et petits – puissent rester en contact et opérationnelles.

Les nouveaux cas d’utilisation pour la plupart en dehors d’un cadre professionnel classique, ont permis de découvrir des problèmes imprévus sur la plateforme de Zoom. La lettre ouverte aux utilisateurs de Zoom publiée par son CEO et fondateur explique les mesures et initiatives prises pour corriger les failles identifiées.

Celle-ci annonce :

• La publication des corrections pour les problèmes liés au Mac et iOS, y compris l’utilisation par Zoom du SDK de Facebook dans le client iOS.
• La suppression de la fonction de suivi de l’attention des participants.
• La publication d’un correctif pour le problème du lien UNC.
• La suppression du navigateur LinkedIn après avoir identifié une divulgation inutile de données par la fonction.
• La publication d’un guide pour limiter et éviter la pratique du Zoom-Bombing.

De plus, Zoom Video Communications Inc, s’engage à consacrer les ressources nécessaires pour mieux identifier, traiter et résoudre les problèmes de sécurité et de confidentialité de manière proactive et la société s’engage à faire preuve de transparence tout au long de ce processus. Ces mesures incluent :

• La mobilisation de toutes les ressources techniques sur les principaux problèmes de confiance, de sécurité et de confidentialité.
• La réalisation d’un examen de compréhension complet, avec des experts tiers et des utilisateurs représentatifs pour comprendre et garantir la sécurité de tous les nouveaux cas d’utilisation par les consommateurs.
• La préparation d’un rapport de transparence qui détaille les informations liées aux requêtes de données, de dossiers ou de contenus.
• L’amélioration de son programme actuel Bug Bounty.
• Le lancement d’un conseil des RSSI en partenariat avec les principaux RSSI de l’industrie pour faciliter un dialogue permanent sur les meilleures pratiques en matière de sécurité et de confidentialité.
• L’engagement d’une série de pentests simultanés en white box pour mieux identifier et traiter les problèmes.

À noter qu’à partir du 8 avril, Eric S. Yuan, CEO et fondateur de Zoom, tiendra, chaque mercredi à 10h00 PT un webinaire hebdomadaire intitulé Ask Eric anything pour communiquer les dernières mises à jour effectuées sur les sujets de sécurité et la protection de la vie privée. Ce webinaire en format ouvert donnera aux participants la possibilité de poser leurs questions.

7 conseils pour travailler en toute sécurité avec Zoom

By CheckPoint

1. Restez à jour – Hier encore (1er avril), Zoom a publié une nouvelle mise à jour corrigeant de nombreux problèmes de confidentialité et améliorant les politiques pour les groupes d’utilisateurs
2. Utilisez des mots de passe – Pour protéger votre réunion, connectez-vous à Zoom via SSO si votre entreprise fournit cette méthode d’authentification
3. Utilisez une salle d’attente – Une conférence Zoom permet de filtrer les utilisateurs avant de leur permettre d’entrer dans une réunion, et vous pouvez également limiter les fonctions de collaboration
4. Gérez vos participants – contrôlez la caméra et les options audio, notamment en coupant le microphone de tous les participants afin que vous soyez le seul présentateur de la réunion
5. Supposez que ce qui se passe dans Zoom ne reste pas dans Zoom – Contrôlez votre propre confidentialité comme avec tous les outils en ligne
6. Évitez les liens fournis – Rendez-vous directement sur le site web ou l’application Zoom, et saisissez l’identifiant de la réunion à laquelle vous souhaitez participer ainsi que le mot de pass
7. Évitez de répondre ou de cliquer sur les emails ou les messages instantanés associés à Zoom et à d’autres outils de collaboration en ligne – Considérez qu’il s’agisse de tentatives de phishing, car 90 % des attaques de logiciels malveillants commencent par du phishing. 25 % de domaines Zoom en plus ont été enregistrés au cours des deux dernières semaines ; 4 % étaient suspects.