Sécurisation des données : Zoom règle son différend avec la FTC

Spread the love
  • Yum

Sécurisation des données : Zoom règle son différend avec la FTC

Le fabricant de logiciels de vidéoconférence Zoom a conclu aujourd’hui un accord avec la Commission fédérale du commerce des Etats-Unis pour mettre fin aux accusations selon lesquelles il aurait induit les utilisateurs en erreur sur certaines de ses fonctions de sécurité.

La FTC rappelle qu’au début de l’année, au plus fort de la pandémie, Zoom avait attiré les utilisateurs sur sa plateforme en affirmant de manière trompeuse que son produit supportait « un chiffrement de bout en bout sur 256 bits » et que son service stockerait les appels enregistrés dans un format chiffré. Cependant, suite à une plainte déposée plus tôt cette année, les enquêteurs de la FTC ont constaté que les affirmations de Zoom étaient trompeuses.

En effet, bien qu’elle affirmait prendre en charge les appels chiffrés de bout en bout (E2EE), Zoom ne prenait pas en charge les appels E2EE au sens classique du terme. Les appels E2EE reposent sur l’établissement d’une communication entre deux utilisateurs et la sauvegarde de la clé cryptographique utilisée pour chiffrer l’appel sur les appareils de ces deux utilisateurs. Mais la FTC indique que Zoom a également conservé une copie de la clé pour elle-même, ce qui lui permettait d’intercepter les communications de tous ses clients.

publicité

« Faux sentiment de sécurité »

La FTC a également constaté que Zoom ne chiffraient pas toujours les appels enregistrés, comme elle le prétendait. Au lieu de cela, les appels enregistrés étaient conservés non chiffrés sur les serveurs de Zoom pendant 60 jours avant d’être chiffrés et transférés vers un serveur sécurisé, un laps de temps pendant lequel Zoom et d’autres parties auraient pu accéder au contenu.

« Les allégations trompeuses de Zoom ont donné aux utilisateurs un faux sentiment de sécurité, […] en particulier pour ceux qui ont utilisé la plateforme de la société pour discuter de sujets sensibles comme la santé ou d’informations financières », explique la FTC dans un communiqué. « Dans de nombreux articles de blog, Zoom a spécifiquement vanté son niveau de chiffrement comme une raison pour que ses clients et potentiels clients utilisent ses services de vidéoconférence », ajoute l’agence.

La FTC a également constaté que Zoom avait commis une erreur dans la conception de son logiciel en 2019, avant même la pandémie, lorsqu’elle a installé silencieusement un serveur web sur les ordinateurs des utilisateurs de MacOS. Ce serveur web, qui n’a pas été divulgué dans le journal des modifications officiel du client Zoom Mac, a servi de proxy entre Safari et l’application Zoom pour permettre aux utilisateurs de Safari d’ouvrir l’application Zoom sans déclencher une alerte de sécurité sur leur système d’exploitation.

Comme ça a été dit à l’époque, bien que le serveur ait été bénin, ce n’était pas une décision de conception sécurisée et il aurait pu être utilisé abusivement par des applications tierces ou des attaquants pour compromettre les systèmes MacOS.

Zoom a résolu les problèmes identifiés par la FTC

La plupart des problèmes sur lesquels Zoom s’est mis d’accord aujourd’hui ont déjà été résolus ou mis en œuvre dans le cadre d’un marathon de trois mois, au cours duquel la direction de Zoom s’est concentrée sur l’amélioration de la sécurité de l’entreprise, qui comprenait également l’embauche d’un responsable de la sécurité de l’information (CISO). « Nous sommes fiers des progrès que nous avons réalisés sur notre plateforme, et nous avons déjà abordé les problèmes identifiés par la FTC », rapporte un porte-parole de Zoom à ZDNet. « La résolution d’aujourd’hui avec la FTC est conforme à notre engagement d’innover et d’améliorer notre produit, car nous offrons une expérience de communication vidéo sécurisée. »

Néanmoins, dans le cadre de son accord avec la FTC, Zoom a également promis un certain nombre d’actions :

  • évaluer et documenter chaque année les risques potentiels pour la sécurité intérieure et extérieure et mettre au point des moyens de se prémunir contre ces risques ;
  • mettre en œuvre un programme de gestion des vulnérabilités ;
  • déployer des mesures de protection telles que l’authentification à plusieurs facteurs pour se prémunir contre l’accès non autorisé à son réseau ; instituer des contrôles de suppression des données ; et prendre des mesures pour empêcher l’utilisation d’identifiants d’utilisateur connus comme étant compromis ;
  • examiner toute mise à jour de logiciel pour détecter les failles de sécurité et s’assurer que les mises à jour n’entraveront pas les dispositifs de sécurité de tiers ;
  • ne pas déformer les pratiques en matière de sécurité et de protection de la vie privée.

A noter que l’accord, tel qu’il a été passé avec la FTC, n’incluait pas d’amende.

Source : ZDNet.com

Leave a Reply

%d bloggers like this: