Embourbé dans des histoires de failles qui s’accumulent, le service de visioconférence Zoom a décidé de faire appel à l’ancien responsable de la sécurité de Facebook, Alex Stamos.
Outre la crise de la Covid-19, Zoom aussi connait sa propre crise. Plus les jours passent et plus les révélations au niveau des failles de sécurité du service d’appel vidéo s’accumulent.
Partage de données à Facebook, faille avec le chat sur Windows, problème avec le phénomène du ZoomBombing, des appels enregistrés qui se sont retrouvés publics sur le web, Zoom sont passablement occupés à éteindre des feux.
Sans compter que selon l’agence de presse Reuters, Google a exigé à ses employés de ne plus utiliser Zoom sur ordinateur à cause des nombreuses failles révélées.
Zoom a donc décidé de donner un coup de volant pour renforcer sa plateforme et a donc fait appel à Alex Stamos, ancien responsable de la sécurité chez Facebook.
Oui, vite comme ça quand on lit sécurité et Facebook ensemble ça peut sembler ironique…
Alex Stamos, ancien responsable de la sécurité chez Facebook, devient consultant pour Zoom. Crédit image: Université Stanford.
Faire de Zoom un service sécuritaire
Professeur à l’Université Stanford et ancien responsable de la sécurité de Facebook entre 2015 et 2018, Alex Stamos a lui-même annoncé via un blogue qu’il devenait consultant auprès de Zoom pour les aider à renforcer la sécurité de la plateforme.
J’ai reçu un appel téléphonique d’Eric Yuan, fondateur et PDG de Zoom. Nous avons parlé des défis importants auxquels son entreprise était confrontée, à la fois pour répondre à une croissance incroyable des utilisateurs, mais aussi pour répondre aux attentes de sécurité du moment. Il a posé des questions détaillées et réfléchies sur mes expériences de travail dans des entreprises confrontées à des crises extrêmes, et j’ai été impressionné par sa vision claire de Zoom en tant que plateforme de confiance et sa volonté de prendre des mesures agressives pour y arriver. Il m’a demandé si je serais intéressé à aider Zoom à renforcer ses capacités en matière de sécurité, de confidentialité et de sécurité en tant que consultant externe, et j’ai rapidement accepté.
Sûrement que Zoom ont senti qu’il pouvait les aider avec un plan pour redresser la situation, alors que Stamos avait émis des solutions sur Twitter.
Zoom is going to need to demonstrate more transparency, including putting a security face to all of these responses. A documented 30 day security plan that includes a feature freeze, several professional pen-tests and rolling out coordinated disclosure policies would be smart.
— Alex Stamos (@alexstamos) April 1, 2020
Toujours est-il que Stamos agira comme consultant et aura vraisemblablement comme mandat de guider l’équipe de Zoom pour créer une plateforme sécuritaire et non juste pour corriger des failles.
Zoom corrige une lacune avec le Meeting ID
Parlant de corriger des failles, Zoom a apporté un correctif au niveau de l’affichage du Meeting ID dans la barre supérieure de la fenêtre de visioconférence.
C’est un tweet du premier ministre britannique Boris Johnson qui avait soulevé la question, alors qu’il avait pris une photo de sa conférence vidéo avec ses ministres et où l’on pouvait clairement voir le numéro de la réunion.
Dans la photo publiée dans le Tweet de Boris Johnson, on pouvait clairement voir le Meeting ID de son appel Zoom.
Sans surprise, des internautes avaient tenté d’accéder à la réunion ce qui soulevait des questions quant à la sécurité des appels en général si l’on prenait une capture d’écran.
Ainsi dorénavant le numéro n’est plus affiché dans la barre de la fenêtre et se trouve plutôt dans le bouton info de la réunion dans le coin supérieur gauche.
Zoom pointé du doigt pour chiffrement trompeur et vidéos privés en ligne
Comment faire un appel réunion de groupe sur Skype
Messenger améliore son app de bureau pour faciliter les appels vidéo
Article publié sur francoischarron.com le 09 avril 2020
