Zoom annonce une vague de mesures pour renforcer sa sécurité
avril 2020 par Marc Jacob
En réponse à plusieurs alertes de sécurité récentes, Zoom Video Communications Inc, le spécialiste de la visioconférence dans le cloud annonce les mesures prises pour corriger les failles identifiées ces derniers jours et le lancement de plusieurs initiatives pour renforcer la sécurité et faciliter l’usage de sa plateforme face à l’afflux d’utilisateurs lié à la pandémie de Covid-19. Les mesures prises ont été annoncées par le CEO et Fondateur de Zoom, Eric S. Yuan lui-même qui s’est expliqué dans une lettre ouverte adressée à ses utilisateurs qui a été publiée sur le blog de la société.
Les nouveaux cas d’utilisation, pour la plupart en dehors d’un cadre professionnel classique, ont permis de découvrir des problèmes imprévus sur la plateforme de Zoom. La lettre ouverte aux utilisateurs de Zoom publiée par son CEO et fondateur explique les mesures et initiatives prises pour corriger les failles identifiées. Celle-ci annonce :
• La publication des corrections pour les deux problèmes liés au Mac soulevés par Patrick Weadle.
• La suppression de la fonction de suivi de l’attention des participants.
• La publication d’un correctif pour le problème du lien UNC.
• La suppression du navigateur LinkedIn après avoir identifié une divulgation inutile de données par la fonction.
• La publication d’un guide pour limiter et éviter la pratique du Zoom-Bombing.
De plus, Zoom Video Communications Inc, s’engage à consacrer les ressources nécessaires pour mieux identifier, traiter et résoudre les problèmes de sécurité et de confidentialité de manière proactive et la société s’engage à faire preuve de transparence tout au long de ce processus. Ces mesures incluent :
• La mobilisation de toutes les ressources techniques sur les principaux problèmes de confiance, de sécurité et de confidentialité.
• La réalisation d’un examen de compréhension complet, avec des experts tiers et des utilisateurs représentatifs pour comprendre et garantir la sécurité de tous les nouveaux cas d’utilisation par les consommateurs.
• La préparation d’un rapport de transparence qui détaille les informations liées aux requêtes de données, de dossiers ou de contenus.
• L’amélioration de son programme actuel Bug Bounty.
• Le lancement d’un conseil des RSSI en partenariat avec les principaux RSSI de l’industrie pour faciliter un dialogue permanent sur les meilleures pratiques en matière de sécurité et de confidentialité.
• L’engagement d’une série de pentests simultanés en white box pour mieux identifier et traiter les problèmes.