Zoom renforce la sécurité de sa plateforme de visioconférence et revient sur le sujet du Dark Web abordé dans la presse
avril 2020 par Emmanuelle Lamandé
Dans le cadre de son plan de 90 jours dédié à la résolution des problèmes de sécurité constatés sur sa plateforme, Zoom vient d’annoncer une nouvelle série de mesures couvrant la protection des mots de passe, des ID de meeting, des enregistrements dans le cloud... Zoom revient également sur le sujet du Dark Web, évoqué dans la presse, et sur les mesures prises pour empêcher ces pratiques.
Perspective de Zoom sur le sujet du Dark Web
Alex Stamos, tout juste nommé RSSI de Zoom, a expliqué que c’est un problème auquel sont confrontées la plupart des grandes entreprises telles que Yahoo, Facebook et Amazon. Il a également expliqué que ces identifiants ont très probablement été volés à des utilisateurs d’autres pays, mais qui utilisent le même mot de passe pour plusieurs comptes, ou à des utilisateurs qui ont installé des logiciels malveillants sur leur système. Zoom met en place des systèmes pour détecter si des personnes essaient des combinaisons de noms d’utilisateur et de mots de passe et les empêcher de réessayer. L’entreprise a également engagé plusieurs sociétés de renseignement pour trouver ces fichiers de mots de passe et les outils utilisés pour les créer, ainsi qu’une société qui a fermé des sites web tentant de tromper les utilisateurs pour qu’ils téléchargent des logiciels malveillants ou abandonnent leurs identifiants.
Dernières avancées réalisées par les équipes de Zoom en matière de sécurité
– Exigences relatives au mot de passe : pour les réunions et les webinaires, les propriétaires de compte et les administrateurs peuvent désormais configurer les exigences minimales en matière de mot de passe de réunion afin d’ajuster la longueur minimale et d’exiger des lettres, des chiffres et des caractères spéciaux, ou d’autoriser uniquement les mots de passe numériques. Tous les comptes Basic gratuits auront l’option alphanumérique activée par défaut.
– Identifiants de réunion aléatoires : les ID de réunions aléatoires uniques pour les réunions et webinaires nouvellement programmés seront composés de 11 chiffres au lieu de 9. Les identifiants personnels de réunion (PMI) resteront les mêmes.
– Enregistrements dans le cloud : la protection par mot de passe pour les enregistrements partagés dans le cloud est désormais activée par défaut pour tous les comptes. Zoom a également amélioré la complexité des mots de passe sur les enregistrements dans le cloud.
– Partage de fichiers avec des tiers : les utilisateurs peuvent de nouveau utiliser des plateformes tierces, telles que Box, Dropbox et OneDrive, pour partager des fichiers sur la plateforme Zoom. Cette fonctionnalité avait été suspendue et vient d’être restaurée après un examen complet de la sécurité du processus.
– Prévisualisation des messages de Chat Zoom : les utilisateurs de Zoom Chat peuvent masquer l’aperçu du message pour les notifications du chat sur le bureau. Si cette fonction est désactivée, ils seront simplement avertis que de l’arrivée d’un nouveau message sans afficher le contenu du message.
– Routage des données dans les datacenters : à partir du 18 avril, les propriétaires de comptes payants pourront choisir les régions de data centers pouvant être utilisées, ou non, pour le transit de leurs données lors des réunions Zoom.
Zoom renforce également son programme de Bug Bounty, et travaille dorénavant avec Luta Security, fondée par Katie Moussouris. Luta Security évaluera le programme de Zoom de manière globale avec un plan de « ?rétablissement ? » de 90 jours, qui couvrira tous les processus internes de traitement des vulnérabilités.