ℹ️ 🗃️ 🧝🏽 Zoom - négligence banale ou espionnage ciblé? 👲🏼 ⏳ 🏂

Au milieu de la période d'auto-isolement, la célèbre application de conférence américaine Zoom, dont la popularité en raison de la transition massive vers le travail à distance et la formation, a été multipliée par vingt au cours du mois dernier, est devenue le centre d'attention et Zoom est devenu une première place confiante aux États-Unis en termes de téléchargements. . Cependant, il a attiré l'attention non pas tant avec une augmentation du nombre d'utilisateurs, mais avec des scandales liés à la fuite massive de données d'entreprise et personnelles des utilisateurs de Zoom dans le réseau social Facebook, ainsi que des milliers d'enregistrements de vidéoconférences personnelles fusionnés en libre accès sur YouTube et Vimeo.

Qu'est-ce que Zoom et comment ça marche?

L'objectif principal de Zoom est de mener des vidéoconférences, et l'application fournit un support pour le flux vidéo en qualité HD et une connexion simultanée à la conversation d'une centaine de participants. En outre, les utilisateurs adorent ce programme pour la possibilité de partager un écran et de créer des chats, où vous pouvez non seulement joindre diverses pièces jointes, mais également travailler avec des services cloud populaires tels que Google Disc et Dropbox. De plus, l'application vous permet d'ouvrir l'accès à l'écran d'un appareil mobile (fonction de partage). Parmi les jetons supplémentaires, il existe également une fonction «levez la main» lors d'une conversation afin de poser une question.

Mais, malgré les bonnes fonctionnalités, Zuma a de gros problèmes pour assurer la confidentialité des utilisateurs. Ainsi, l'application ne prend pas en charge le chiffrement des données de bout en bout et présente d'autres failles de sécurité graves qui sont survenues simplement parce que certaines fonctions ont été ajoutées.

Suivi de l'attention des participants: je vous suis

Par exemple, la fonction de suivi de l'attention des participants vous permet de calculer ceux qui sont distraits de la conversation par des questions étrangères. De toute évidence, cela semble utile aux dirigeants et formateurs de l'entreprise, mais les inconvénients de cette fonction sont beaucoup plus graves, car elle utilise des trackers de suivi (scripts qui effectuent une surveillance à distance de tous les participants), qui permettent au programme de "contourner les paramètres de sécurité dans le navigateur et d'effectuer une surveillance incohérente de par l'utilisateur et ses actions à travers la webcam », ce qui a soulevé à plusieurs reprises des questions d'experts sur la protection des données personnelles.

Après avoir écouté les critiques des experts en cybersécurité Attendee Attention Tracking, les développeurs de Zoom Video Communications ont décidé de se débarrasser de cette fonctionnalité, comme indiqué sur le site Web de l'application : "Le 2 avril 2020, nous avons supprimé la fonctionnalité de suivi de l'attention des utilisateurs pour garantir la sécurité et la confidentialité de nos clients" .

SDK Facebook: Zuckerberg knock knock

Un autre problème que les développeurs d'applications ont dû résoudre pour regagner la confiance des utilisateurs était que Zoom a automatiquement transmis un certain nombre de données à Facebook, qui analyse et utilise les informations reçues à des fins publicitaires: selon DuckDuckGo (un moteur de recherche qui s'oppose au suivi données utilisateur), Facebook trackers publicitaires sont placés sur 36% de tous les sites sur Internet, et dans cet indicateur, il est deuxième derrière Google avec ses 85%.

Quelles données utilisateur Zoom a-t-il transmises? Tout d'abord, l'heure d'entrée dans l'application, l'emplacement de l'utilisateur, le type d'appareil. Parmi les informations envoyées figurait également l'ID publicitaire, selon lequel les sites liés à Facebook diffusent des publicités ciblées par l'utilisateur.

Mais le problème pour les développeurs de Zoom était que leur application iOS envoyait des données «Facebook» non seulement sur les utilisateurs qui avaient des comptes sur ce réseau social, mais aussi sur ceux qui n'étaient pas du tout enregistrés sur Facebook, et ce dernier était écrit dans l'accord d'utilisation ce n’était sous aucune forme, c’est-à-dire que le fait de la transmission non autorisée d’informations est évident: lecture, espionnage.

Zoom a répondu aux plaintes des utilisateurs et les développeurs ont supprimé le code SDK Facebook de leur programme, mais les Américains ont commencé à porter plainte contre la société en grand nombre, l'accusant de violer les lois locales sur le transfert de données. Les propriétaires de Zuma n'ont pas pris en compte une chose simple: le suivi Facebook n'est désactivé qu'après la mise à jour de l'application, la société a donc dû obliger tous ses clients à utiliser la nouvelle version de Zoom.

Confidentialité? Non pas entendu

La suppression de Attendee Attention Tracking et du SDK Facebook de l'application est louable, bien que tardive, les initiatives de Zoom Video Communications, mais cela n'a pas résolu le problème de sécurité: le fait est que Zoom a un wagon et un petit chariot.

Ainsi, la politique de confidentialité de Zoom stipule explicitement que les partenaires publicitaires (par exemple, Google Ads et Google Analytics) du service collectent automatiquement «certaines informations» sur les utilisateurs lorsqu'ils utilisent les produits de l'entreprise. Et quel type d'informations n'est pas spécifié. Voici ce que Doc Searls, l'un des chercheurs en sécurité informatique, écrit à ce sujet:

«Zoom est engagé dans la publicité, et dans son pire scénario: l'entreprise vit des données personnelles collectées des utilisateurs. Mais encore plus terrifiant est le fait que Zoom peut collecter une grande quantité de données privées et intimes (par exemple, une conversation d'un médecin avec un patient), et aucun des participants à la conversation n'en est conscient. » Et plus loin: "Si votre navigateur se soucie de la confidentialité (par exemple, Brave, Firefox ou Safari), il bloquera très probablement les trackers publicitaires, cependant, dans Zoom, vous ne pourrez pas déterminer si vos données personnelles sont collectées et comment cela se produit" .

Ensuite, le spécialiste souligne que jusqu'à récemment, il n'était pas possible chez Zoom de refuser de collecter des données personnelles vous concernant et de les vendre à des tiers (il y a violation non seulement de la confidentialité, mais aussi de la sécurité):

"La politique de confidentialité actuelle de Zoom est encore pire que" vous n'avez aucune confidentialité ici ", résume l'expert et donne une définition concise de la politique de Zoom aux utilisateurs:" Nous ouvrons vos cous virtuels aux vampires qui peuvent tout faire avec eux, tout ce qu'ils veulent. " (littéralement: nous exposons vos cous virtuels à des vampires de données qui peuvent faire ce qu'ils veulent avec ).

Mise à jour de la politique de confidentialité

Une vague de critiques a encore forcé Zoom Video Communications à réviser sa politique de confidentialité, et le 29 mars une version mise à jour du texte est apparue (https://zoom.us/privacy), qui au début déclare explicitement: «Nous ne vendons pas vos données personnelles. Que vous soyez une entreprise, un établissement d'enseignement ou un utilisateur individuel, nous ne vendons pas vos données. »

Le prochain point important: «Vos réunions ne sont que les vôtres. Nous ne les suivons pas ni même les stockons après la réunion, à moins que l'organisateur de la conférence ne les enregistre et les enregistre. »

Autre point intéressant: "Zoom ne collecte que les données utilisateur nécessaires pour vous fournir les services Zoom ... Par exemple, nous collectons des informations telles que l'adresse IP de l'utilisateur, ainsi que des informations sur le système d'exploitation et l'appareil ..."

Et enfin: «Nous n'utilisons pas les données que nous recevons de votre utilisation de nos programmes pour toute publicité. Nous utilisons les données que nous recevons de vous lorsque vous visitez nos sites commerciaux, tels que zoom.us et zoom.com. Vous pouvez contrôler vos propres paramètres de cookies lorsque vous visitez nos sites commerciaux. »

Il serait possible de conclure sur ce point: dire que les gars sont géniaux et recommander le zoom mis à jour à tous ceux qui se soucient de leur sécurité sur Internet, mais il y a une nuance ici et, contrairement à la blague bien connue, pas même une.

Autres vulnérabilités

De gros ennuis attendent les utilisateurs de Windows, dont la grande majorité dans le monde. Il s'est avéré que Zoom convertit les chemins UNC en liens, c'est-à-dire en chemins ... en fichiers sous Windows. (https://www.bleepingcomputer.com/news/security/zoom-lets-attackers-steal-windows-credentials-run-programs-via-unc-links/). En utilisant de tels liens qui contiennent des images, des enregistrements audio et d'autres fichiers multimédias, il ne sera pas difficile pour un pirate de casser des hachages et d'accéder aux informations d'identification de l'utilisateur Zoom. La société est consciente de cette vulnérabilité, mais jusqu'à présent, aucune correction n'a été apportée au code de l'application.

Plus tôt, "Zoom" a reçu un autre coup de poing du site d'enquête The Intercept news, où le 31 mars un article est apparu que les vidéos de Zoom ne disposent pas d'un cryptage approprié et que la société elle-même peut voir les sessions de communication de ses utilisateurs. Et le manque de chiffrement de bout en bout conduit à la possibilité que des étrangers puissent interférer dans les conversations: en 2020, le soi-disant «Zoombombing» est devenu très populaire, lorsque des étrangers «ont ouvert» diverses classes et vidéoconférences d'entreprise dans le but humoristique d'organiser des «farces» et de transformer les émissions en chaos ( y compris la diffusion de contenu pornographique à l'ensemble du public). Il est facile de deviner que de tels tirages sont la chose la plus inoffensive qui puisse arriver aux utilisateurs de Zoom.

Zumovskaya «fraise» et Elon Musk

L'autre jour, l' édition américaine du Washington Post a rapporté des milliers de conversations Zoom qui étaient dans le domaine public, qui ont été publiées sur YouTube et Vimeo. Les journalistes de la publication, après avoir regardé ces documents, ont signalé qu'un certain nombre de conversations «fusionnées» dans le réseau contiennent des informations confidentielles: noms, numéros de téléphone, listes de services, états financiers d'entreprises privées, ainsi que des données personnelles d'enfants qui sont apparus dans des cours en ligne qui sont maintenant massivement détenus. partout dans le monde en raison de la quarantaine. Dans de nombreuses vidéos, des conversations profondément personnelles et intimes sont menées et même de la nudité est présentée (comme, par exemple, un enseignant dispensant une formation en épilation dans l'un des chats).

La situation est encore aggravée par le fait qu'il est possible de visualiser même des enregistrements cachés sur les serveurs de Zuma lui-même: les utilisateurs intelligents peuvent ouvrir des vidéos aléatoires en utilisant une numérotation standard, que Zoom désigne tous ses matériaux. Dans le même temps, de nombreuses victimes qui sont apparues sur la vidéo, avec lesquelles les journalistes du Washington Post ont réussi à communiquer, ont déclaré qu'elles n'imaginaient même pas comment leurs conversations privées pouvaient entrer dans le domaine public.

Même avant les scandales avec la «décharge» de vidéo sur le réseau, Ilon Mask interdisait à ses employés d'utiliser Zoom. Le chef des sociétés SpaceX et Tesla a noté que le service avait de graves problèmes de confidentialité et de sécurité, et a recommandé d'utiliser le courrier électronique et le téléphone pour la communication d'entreprise. Les dirigeants de SpaceX ont bloqué l'accès à Zoom pour leurs employés le 28 mars 2020.

La NASA et Google également contre Zoom

La porte-parole de la NASA, Stephanie Schierholz, a déclaré le même jour que l'agence spatiale américaine interdisait également à ses employés d'utiliser Zoom, et le 30 mars, la succursale du FBI à Boston a émis un avertissement concernant l'utilisation de Zoom: il était interdit aux employés de rendre les réunions sur le site publiques ou de partager des liens.

D'après les dernières nouvelles pour le Zuma qui n'était pas joyeux: Google a abandonné l'application de bureau Zoom. Reuters rapporte que Google a interdit l'utilisation de l'application sur les ordinateurs portables de leurs employés depuis le 8 avril, invoquant des problèmes de sécurité liés à Zoom. José Castaneda, représentant de la société gérant le plus grand moteur de recherche au monde, a déclaré: «Récemment, notre service de sécurité a informé les employés utilisant Zoom Desktop Client que ce programme ne sera plus pris en charge sur les ordinateurs d'entreprise car il ne répond pas à nos normes de sécurité pour les applications utilisées par les employés de l'entreprise. . Cependant, Google autorise toujours l'utilisation de Zoom via des applications mobiles et des navigateurs . "

Ils ont promis de réparer ...

Zoom Video Communications affirme que des problèmes de fuite de données sont survenus parce que les serveurs d'applications n'étaient pas prêts pour un tel afflux d'utilisateurs au cours du mois dernier. Et le PDG de la société, Eric Yuan, en a même parlé en détail sur son blog et a ajouté qu'ils avaient beaucoup de travail à faire pour restaurer la confiance des gens ( lien ).

Eh bien, nous souhaitons bonne chance aux gars!

Zoom - négligence banale ou espionnage ciblé?