Powered By Blogger

Rechercher sur ce blogue

jeudi 30 avril 2020

Zoom: Beaucoup de faiblesses pour une application qui est utilisée par près de 200 millions de personnes:

Zoom: Beaucoup de faiblesses pour une application qui est utilisée par près de 200 millions de personnes:



Ce qui est inquiétant, c'est que cette application ne permet pas de garantir la confidentialité des échanges :
  • Utilisation d'une clé de 128bits quand le minimum de 256 est recommandé à l'heure actuelle.
  • Utilisation du chiffrement AES en utilisant un algorithme ECB (Electronic Codebook) qui est considéré comme le pire des modes disponibles de l'AES.
  • Certains des systèmes de gestion des clés de chiffrement (5 sur 73 d'après Citizen Lab) semblent être situés en Chine.
  • De plus, Zoom n'utilise pas un cryptage de bout en bout de la chaîne.
Cela fait beaucoup de faiblesses pour une application qui est utilisée par près de 200 millions de personnes et par des cabinets ministériels en cette période de crise[1].


Sécurité

Selon le site officiel, Zoom utilise le chiffrement Advanced Encryption Standard 256 bits (AES 256)45.
En novembre 2018, une vulnérabilité de sécurité (CVE -2018-15715) a été découverte qui permet une attaque à distance qui permet d'usurper les messages d'un partIcipant à une réunion.
En juillet 2019, le chercheur en sécurité Jonathan Leitschuh a révélé46 une vulnérabilité zero-day permettant à n'importe quel site Web de joindre de force un utilisateur macOS à un appel Zoom, avec sa caméra vidéo activée, sans l'autorisation de l'utilisateur. De plus, les tentatives de désinstallation du client Zoom sur macOS permettrait au logiciel de se réinstaller automatiquement en arrière-plan, en utilisant un serveur Web caché qui a été configuré sur la machine lors de la première installation et qui est resté actif même après avoir tenté de supprimer le client. Après avoir reçu des critiques publiques, Zoom a mis à jour son logiciel pour supprimer la vulnérabilité et le serveur Web caché, permettant ainsi une désinstallation complète47.
En mars 2020, le New York Times révèle que le procureur général de New York examine les pratiques de confidentialité de Zoom et l'a sollicité sur certains points dont sa lenteur à résoudre des problèmes de sécurité (vulnérabilités pouvant permettre l'accès aux webcams) et sa politique de confidentialité des données (partage des données avec Facebook)48. Ce cadre, lié à la confidentialité et la sécurité de l’application, entraînent plusieurs gouvernements et entreprises à interdire, en avril 2020, l’utilisation de l’application49.
En raison de la popularité grandissante de Zoom due à l’épidémie de COVID-19, des cybercriminels ciblent les utilisateurs avec des attaques de phishing. 3 300 nouveaux noms de domaines contenant le mot zoom ont été enregistrés, dont 2 200 en mars17.


Notes de bas de page

Les services pour faire des appels vidéos de groupe gratuitement


Les services pour faire des appels vidéos de groupe gratuitement

Vous cherchez une alternative à Zoom, en raison de ses problèmes de sécurité? Vous êtes au bon endroit. Voici une dizaine de services (FaceTime, Skype, Jitsi, Zoho…) qui peuvent remplacer Zoom pour faire des appels vidéos de groupe, autant pour les conversations personnelles que professionnelles.

Zoom

Zoom a connu au cours des dernières semaines une croissance impressionnante en raison de son efficacité et de sa simplicité d’utilisation. Mais plusieurs failles de sécurité ont été découvertes. Il faudra en tenir compte si on veut utiliser le services pour des conversations confidentielles ou le travail. Toutefois, certains problèmes ont déjà été corrigés, et la compagnie promet de faire mieux et d’offrir des mises à jour régulières.
Avec Zoom, on peut faire des appels vidéos avec jusqu’à 100 personnes à la fois, gratuitement, pendant 40 minutes. Au-delà, un abonnement mensuel abordable est nécessaire pour l’organisateur de la réunion.
Ajout: pensez à changer votre mot de passe d’utilisateur, plusieurs circulent sur le web en raison d’une fuite de données.

FaceTime

FaceTime permet de faire des appels à plusieurs, gratuitement avec jusqu’à 32 personnes. On peut lire comment faire sur le site d’Apple. Énorme inconvénient: FaceTime ne fonctionne qu’avec les appareils Apple (Mac, iPad, iPhone).
Oui, il existe des émulateurs et des logiciels qui promettent la compatibilité Windows. Question de sécurité, je ne toucherais pas à ça, même avec un long bâton!
Est-ce qu’Apple va un jour ouvrir FaceTime aux autres plateformes, comme promis lors de son lancement?

Duo de Google

On peut aussi utiliser Duo de Google, qui permet de voir qui appelle avant de répondre, pour communiquer même à ceux qui n’ont pas d’iPhone; on peut aussi faire un appel de groupe (instructions de Google). Comme pour FaceTime, les appels Duo sont codés de bout en bout; personne ne peut écouter la conversation chez Google.

Messenger de Facebook

Tout le monde a un compte Facebook dans le groupe?
Tout le monde à un compte Facebook dans le groupe? On pourra faire un appel vidéo à plusieurs avec Messenger, gratuitement et sans limite de temps. Pour les ordinateurs Mac ou Windows, il faudra télécharger l’application. Les instructions sont ici. Mais l’option est un peu moins sécuritaire: elle n’est pas codée de bout en bout, même si Facebook y travaille.

Skype de Microsoft

Le bon vieux service Skype de Microsoft permet de faire appels vidéos avec jusqu’à 50 personnes gratuitement. Si on utilise le navigateur Chrome ou Edge, on pourra démarrer des réunions vidéos en un clic à partir d’une page web, sans inscription ni installer d’application. Pour les malentendants, on peut afficher des sous-titres – une transcription instantanée – de ses conversations dans l’écran, même une traduction! On peut utiliser Skype sur presque toutes les plateformes, incluant sa Xbox et Linux. Pour avoir une conversation codée de bout-en-bout, il faudra activer l’option « conversation privée ».
Le service fonctionne aussi très bien pour faire des appels téléphoniques à des prix ridiculement bas.

Google Meet

Le service de chat professionnel de Google, anciennement Google Hangouts. Il est sécuritaire, et maintenant offert gratuitement.

Houseparty

Houseparty, pour les appels vidéos… Et jouer en groupe!
Houseparty, du créateur de jeux vidéos Epic Games (le créateur de Fortnite), est un réseau social et une application de chat vidéo qui connaît aussi une hausse de popularité, particulièrement chez les jeunes. Elle permet de faire des appels vidéos avec jusqu’à 8 personnes, et de jouer en groupe a des jeux simples.
Pour jouer tranquille en famille ou entre amis, il faut penser à verrouiller notre salle de jeu si on ne veut pas que d’autres ne s’y invitent!
Epic Games offre une récompense d’un million de dollars pour trouver qui est derrière la campagne de salissage comme quoi le jeu avait été piraté.

Whatsapp

Très populaire en Europe et en Asie, on peut faire avec Whatsapp des appels vidéo avec 4 personnes. Les communications sont codées de bout en bout.

Zoho Meeting

Zoho Meeting se compare très favorablement à Zoom, mais avec une sécurité plus solide. Elle permet d’organiser des conférences vidéos, mais aussi des webinaires facilement. Il n’en coûte que 10 USD pour faire des appels allant jusqu’à 100 personnes sans limites de temps.
Si vous cherchez une alternative à Office pour travailler et collaborer à distance, prenez la peine d’explorer la suite de logiciels de Zoho, c’est impressionnant.

Jitsi Meet, à code ouvert

Jitsi Meet, une alternative libre et gratuite à Zoom
Une autre solution qui a le vent dans les voiles en ce moment: Jitsi Meet. C’est un logiciel à code ouvert, gratuit, sécuritaire, avec lequel on peut faire des conversations vidéos d’une durée illimitée à plusieurs (jusqu’à 75 pour l’instant). Et il n’est pas nécessaire de créer un compte! On peut utiliser le service avec une application iOS ou Android, avec Linux, et il est optimisé pour le navigateur Chrome.
Il est même possible d’installer son propre serveur Jitsi pour en avoir le plein contrôle.

Signal, le choix d’Edward Snowden

On peut faire des appels vidéo avec l’application Signal, axée sur la sécurité du transfert des données. La fonction ne permet pour l’instant que des appels un à un, et ne fonctionne que sur appareils mobiles.
Si la sécurité de Signal est suffisante pour le lanceur d’alerte Edward Snowden, elle doit être pas mal!

Des options à surveiller ou à découvrir

Je découvre chaque jour de nouveaux services d’appels vidéo et de réunions de groupe. En voici d’autres.
  • Berrycast, une solution québécoise, dont le site n’est pour l’instant qu’en anglais.
  • Around, un service en beta qui promet de faire des appels vidéo de nouvelle génération (next-gen video calling), avec cadrage intelligent et améliorations sonores.
  • Whereby, une solution axée sur le télétravail
  • Discord, conçue pour les gamers, avec une option pour détecter et diminuer les bruits de fond.

Solutions de chat vidéo pour un usage professionnel

Pour faire des appels vidéos de groupe professionnels, il peut être plus sécuritaire de considérer une solution pensée pour entreprise. Elles offriront plus de possibilités et de sécurité! En voici quelques-unes…

Quel service d’appel vidéo choisir pour remplacer Zoom?

Dur à dire. L’important est de trouver un service compatible avec le maximum de gens qu’on veut intégrer à la réunion. Est-ce qu’ils utilisent un ordinateur? Leur téléphone? Est-ce qu’on veut faire des conversations à 10, 20, 150 personnes? Est-ce que la sécurité est une priorité? Il sera peut-être nécessaire d’essayer quelques services pour déterminer celui qui convient le mieux!
Si vous avez deux minutes, pensez à montrer à vos proches qui sont moins à l’aise avec la technologie comment faire des appels vidéos. C’est une belle façon de rester en contact pendant le confinement!

REF.: