Zoom : retour sur une accumulation de failles

La facilité n'excuse pas tout

Zoom : retour sur une accumulation de failles

Zoom : retour sur une accumulation de failles

Abonnez-vous pour tout dévorer et ne rien manquer.

Déjà abonné ? Se connecter

Abonnez-vous

Le nombre d'utilisateurs de Zoom a été multiplié par 20 en trois mois. Depuis, les actualités s'enchainent sur les nombreux problèmes découverts, tous liés à la sécurité et à la vie privée. Retour sur une période aussi dorée que noire pour l'entreprise, qui semble saisir désormais l'ampleur de la situation.

La plateforme de visioconférence Zoom était encore inconnue d’une bonne partie du grand public il y a peu. Beaucoup l’ont découverte avec la pandémie de Covid-19 et l'obligation de rester chez soi. Zoom a connu un énorme engouement en quelques semaines. Sa disponibilité sur diverses plateformes et sa facilité d'utilisation l'ont rendu d'autant plus désirable : il suffit de lancer l’application ou la page web pour créer un lien d’invitation. Il n’est même pas nécessaire de s’inscrire.

Difficile dès lors pour d’autres plateformes de lutter, et Zoom a même dépassé en peu de temps le nombre d’utilisateurs de Teams, le concurrent de Microsoft à Slack. Pas étonnant depuis que l’éditeur de Redmond ait annoncé il y a quelques jours l’arrivée de Teams pour le grand public plus tard cette année.

Mais le succès a son revers de médaille. L’attention suscitée a attiré des curieux et des questions ont été posées : le chiffrement annoncé est-il réellement de bout en bout ? Que fait Zoom des données ? Que cache la simplicité du processus ? Le code est-il sûr ?

Une accumulation de défauts…

Le monde de la sécurité connaissait déjà bien Zoom, car les clients de l’éditeur se sont fait remarquer plusieurs fois pour de mauvaises raisons.

En juillet 2019, le chercheur Jonathan Leitschuh avait découvert que la version Mac de Zoom installait en secret un serveur web pour répondre plus efficacement aux appels. Problème, ce serveur était ouvert aux quatre vents et permettait à la machine d’être piratée : on pouvait déclencher sa réponse automatique, le serveur web réinstallant même le client si celui-ci avait été supprimé entre temps.

Le problème était tel que Zoom avait été dans l’incapacité de le corriger de lui-même. L’éditeur avait été alors secouru par Apple elle-même, la firme déployant un correctif à l’échelle du parc Mac tout entier pour juguler la faille béante. Zoom avait participé à son développement et remercié Apple, mais sa crédibilité en avait clairement pris un coup.

Le client Mac ne brille toujours pas par le « sérieux » de son développement. Plus récemment, un autre chercheur en sécurité a cloué l’application au pilori pour ses mauvaises pratiques. Son script d’installation complexe saute des étapes cruciales et profite de la préparation du processus pour tout installer, en réclamant le mot de passe de la session pour obtenir les droits administrateur. Cette installation, qui se fait via un PKG, ne permet donc pas une annulation du processus une fois la phase préparatoire terminée.

Le chercheur ajoute que l’application en elle-même n’est pas un malware, mais que la technique d’installation employée est très proche de celle de nombreux logiciels malveillants. À la suite de son fil de tweets, d’autres chercheurs ont réagi, ajoutant que Zoom remontait souvent dans les exemples de comportements malveillants, sans être en elle-même un danger, le service étant bien ce qu’il annonce être.

À l’époque de la faille de sécurité du client Mac, le conseil était alors de se tourner vers la version web ou l’application iOS. Mais là non plus, tout est loin d’être rose. Certaines ont reproché notamment à la version web de tout faire pour empêcher l’utilisateur de déclencher un appel sans avoir à installer le client local (TechCrunch n’hésite par exemple pas à parler de dark pattern, là encore un terme que l’on retrouve souvent dans le monde des malwares).

La version iOS a récemment fait la une pour son aspect bavard. Pour simplifier la connexion à son service, les développeurs de Zoom avaient en effet inclus le kit de développement Facebook. Objectif, proposer une identification via une plateforme que les utilisateurs connaissaient déjà, pour ceux voulant éviter la création d’un nouveau compte.

Patatras, elle aussi avait un problème. Motherboard avait repéré que l’application émettait de nombreuses données qui, sans être forcément trop personnelles, partaient chez Facebook sans que l’utilisateur en soit averti. Zoom s’en était excusé et avait joué la carte de la transparence, publiant très rapidement une mise à jour dont le SDK de Facebook avait été extirpé. L’éditeur avait dans la foulée mis à jour ses conditions d’utilisation et sa page dédiée à la vie privée pour refléter ces changements. Au moins l’histoire n’avait pas été passée sous silence.

Ce qui n’a pas empêché un utilisateur de lancer une action de groupe contre Zoom pour ces fuites d’informations, le mal ayant été fait.

… qui ne fait que s’amplifier

Si la situation n’était déjà pas glorieuse, elle n’a fait que s’empirer depuis. Les problèmes découverts ont attiré d’autres chercheurs, qui se doutaient que le service cachait d’autres bêtises. Un consensus voyait déjà le jour : Zoom n’était pas développé par une entreprise cherchant à tromper son monde, mais par une équipe qui ne semblait guère formée à ce que la sécurité implique.

Car depuis plusieurs jours, les mauvaises nouvelles tombent sur Zoom, dont les faiblesses dans ce domaine éclatent au grand jour. Un ancien hacker de la NSA, Patrick Wardle, a ainsi publié sur le blog d’Objective-See – éditeur notamment de MalwareBytes, pour qui il travaille – les détails de deux failles 0-day.

Elles nécessitent un accès physique à la machine et ne sont donc pas considérées comme critiques. Mais, exploitées, elles autorisent le pirate à maintenir un accès complet, permanent et à distance, lui permettant d’installer des malwares. Zoom a promis d’examiner au plus vite le problème.

Le 1er avril, deux chercheurs en sécurité ont publié sur Twitter une autre découverte : une faille de sécurité dans le client Windows. Exploitée, elle permet cette fois la récupération de mots de passe dans le système d’exploitation.

Le problème vient de la manière dont l’application gère la suite de caractères représentant la localisation sur le réseau de l’utilisateur. Ces séquences UNC (Universal Naming Convention) – de forme « \\attacker.example.com/C$ » – sont converties en liens cliquables.

Si le lien est cliqué depuis un réseau non verrouillé correctement, Zoom envoie alors les noms d’utilisateurs Windows et leurs empreintes NTLM. Des informations pouvant alors être utilisées par les pirates pour accéder à des ressources du réseau, comme les bases de données Outlook. Là encore, Zoom est au courant et promet une réponse rapide. En attendant, il est recommandé aux utilisateurs de porter une attention particulière aux liens qui seraient publiés dans une conversation.

Les communications ne sont pas chiffrées de bout en bout

Tout aussi récemment, The Intercept a plongé ses mains sous le capot de Zoom et a découvert cette fois que l’éditeur mentait : non les communications n’y sont pas chiffrées de bout en bout. « Lorsque nous utilisons l’expression de bout en bout […], c’est en référence à la connexion chiffrée d’une destination Zoom à une autre » a répondu l’entreprise à nos confrères.

Ce qui signifie, en clair, que Zoom se sert de TLS, donc du chiffrement de la connexion elle-même. Mais sans le « de bout en bout », cette opération est en fait la même que n’importe quel site HTTPS : les données sont protégées pendant le voyage, mais ne sont pas en elles-mêmes chiffrées. Elles sont parfaitement lisibles sur les serveurs de Zoom par des employés un peu trop curieux. Ce qu’ils ont stricte interdiction de faire, a précisé Zoom.

On sait cependant que cette absence de chiffrement est un choix de l’éditeur, car la plupart des opérations sur les flux vidéo sont réalisés sur les serveurs, non localement, rendant les clients particulièrement légers. Le problème réside davantage dans la communication : l’entreprise ne peut pas affirmer utiliser un chiffrement de bout en bout quand tel n’est pas le cas. La publicité est mensongère, et peu en phase avec le RGPD.

Zoom étant une entreprise américaine, elle est soumise au Cloud Act et peut se voir forcée de remettre des données aux forces de l’ordre. Contrairement à de grandes entreprises cependant comme Apple, Facebook, Google ou Microsoft, elle ne publie aucun rapport de transparence. On ignore donc qui lui a demandé quoi, y compris de la part d’autres gouvernements. Access Now, association de défense des droits de l’homme, avait d’ailleurs publié le 18 mars une lettre ouverte invitant Zoom à s’aligner sur les pratiques des autres sociétés.

Fuites d’adresses emails et photos

Autre témoignage d'un développement à la va-vite : Zoom possède une fonction destinée à faciliter la mise en relation des employés au sein d’un même entreprise.

La méthode employée est très simple : le Company Directory repère les personnes ayant le même domaine dans leur adresse email. Par exemple, [nom]@nextinpact.com et [autrenom]@nextinpact.com seront automatiquement ajoutés dans leur liste de contacts respective.

Cette fonction, clairement destinée au monde professionnel, a eu de gros dérapages. Des utilisateurs munis d’adresses personnelles ont pu avoir la surprise de nombreux inconnus débarquer automatiquement dans leur liste de contacts. Pourquoi ?

Parce que les filtres mis en place par Zoom pour éviter des domaines de type orange.fr manquent parfois d’efficacité. C’est un peu comme si votre adresse Gmail vous mettait en relation avec les autres utilisateurs de comptes Google.

Rien d’aussi énorme bien sûr, mais des ratés ayant tout de même impliqué des milliers de personnes. L’éditeur ne semble s’être intéressé qu’aux domaines les plus courants. Motherboard signale, grâce un utilisateur ayant eu cette mauvaise expérience, que les domaines néerlandais s4all.nl, dds.nl et quicknet.nl ont par exemple été touchés.

L’utilisateur déclare avoir maintenant un millier de contacts environ dans sa liste, tous avec leur adresse email et pour beaucoup avec leur photo. Il peut déclencher des appels vidéo avec toutes ces personnes. Le fournisseur d’accès néerlandais XS4ALL avait de son côté tweeté dimanche qu’il ne pouvait rien faire contre ce problème.

Zoom, interrogé au sujet de la situation, n’a pas caché sa responsabilité. L’entreprise a expliqué que sa liste noire était régulièrement mise à jour, mais sans éviter des ratés. Avec la recrudescence explosive du nombre d’utilisateurs, l’éditeur semble dépassé par les évènements, les développeurs courant probablement toute la journée pour gérer la liste de problèmes qui ne cesse de s’allonger.

Pas assez de fuites de données ? Place aux liens LinkedIn

Le New York Times en a remis une couche hier, dans un article consacré aux découvertes de deux journalistes, qui se sont penchés sur les liens troubles entre Zoom et LinkedIn.

Leur attention a été attirée par une fonctionnalité automatique permettant de relier un utilisateur Zoom à son profil LinkedIn, du moins pour ceux inscrits au service LinkedIn Sales Navigator. Quand ce dernier est activé, un utilisateur peut voir les profils LinkedIn des participants à la réunion via une icône spécifique à côté de chaque nom.

Le lien se fait par un processus maison chez Zoom. Un service actif récupérant l’adresse email et le nom de chaque participant pour chercher une correspondance dans LinkedIn. L’adresse email est même suffisante, puisque les journalistes ont rejoint des conversations en utilisant des pseudonymes, Zoom les « démasquant » sans difficulté.

Le logiciel va plus loin. En analysant les données échangées par Zoom, les deux journalistes ont découvert que ces informations étaient en fait envoyées dans tous les cas dans l’outil de mise en relation pour les tenir prêtes à l’emploi. Ces données ont été repérées après que des étudiants du Colorado avaient rejoint une session vidéo imposée par leur université. Les informations personnelles de six d’entre eux ainsi que du professeur avaient « matché » avec leurs profils LinkedIn.

Contactées, les deux entreprises ont stoppé le fameux service. Zoom a supprimé le LinkedIn Sales Navigator et donc désactivé cette capacité sur sa plateforme. LinkedIn a pour sa part rappelé que les informations récupérées par Zoom étaient celles définies par l’utilisateur comme pouvant être publiques.

Zoombombing : quand des inconnus viennent mettre le bazar

Le zoombombing fonctionne exactement comme le photobombing, où une personne « s’incruste ». Dans le cas de Zoom, c’est d’autant plus simple que certaines conversations ne sont pas privées. Des invitations sont ainsi lancées publiquement, comme l’évènement quotidien WFH Happy Hour, tenu par le journaliste Casey Newton de The Verge et l’investisseur Hunter Walk.

Un petit malin a cru amusant de se connecter et de partager directement à l’écran de tout le monde la fameuse vidéo « two girls, one cup », puis d’enchainer avec d’autres contenus pornographiques pour le moins difficiles à oublier.

La « blague » est rendue possible par les réglages par défaut de Zoom. Le logiciel se faisant fort de permettre au plus grand nombre de se connecter sans grandes connaissances en informatique, il applique dès le départ des paramètres simplifiant au maximum son utilisation, au nom de la facilité. Tout particulièrement deux d’entre eux : le partage d’écran et la reconnexion.

Le premier permet à tout participant de partager son écran sans avoir à demander l’utilisation. Les autres voient alors tous ce qui est affiché. Le second autorise un participant sortant de l’appel d’y revenir sans en demander l’autorisation. Malheureusement, ce réglage permet aussi à un trublion chassé par l’hôte de revenir indéfiniment.

L’hôte doit donc changer ces deux paramètres. Dommage cependant, car désactiver le premier revient à n’autoriser que l’hôte à partager son écran. Aucun système de demande n’existe : soit tout le monde peut partager, soit uniquement l’hôte. Il manque clairement une capacité intermédiaire.

Zoom non adapté au partage de secrets, la Chine impliquée

Le constat peut paraître évident au vu des failles et problèmes déjà découverts, mais c’est la conclusion d’une équipe de chercheurs de The Citizen Lab.

Les entreprises se méfient désormais de Zoom et plusieurs l’ont déjà interdit, comme SpaceX. La NASA a fait de même. En France, l'application est pourtant utilisée à l'Assemblée nationale ou par le ministre de l'Éducation

The Citizen Lab met cependant en garde contre tous ceux qui seraient tentés par la facilité de Zoom dans un contexte ne s’y prêtant pas. Sont particulièrement vulnérables : les gouvernements et entreprises partageant des informations sensibles à l’espionnage, les services de santé et médecins échangeant des données de patients, ainsi que les activistes, avocats et journalistes travaillant sur des sujets sensibles.

Les chercheurs signalent en outre que plusieurs sociétés chinoises sont impliquées dans le développement de Zoom. Le siège de la société est bien aux États-Unis, mais 700 employés sont répartis dans trois filiales en Chine. En outre, les clés de chiffrement et de déchiffrement voyagent entre les serveurs de Zoom et d’autres situés dans le pays asiatique. 

Zoom gèle ses développements pour se concentrer sur la sécurité

Un consensus émerge chez les chercheurs et experts en sécurité : Zoom n’a rien d’un malware, mais est le fruit d’une entreprise obnubilée par la facilité d’utilisation.

Certains diraient, à la décharge de la société, qu’elle a été surprise par l’engouement exceptionnel de son service depuis le début de la crise Covid-19. L’éditeur a certes probablement dû courir en tous sens pour adapter son infrastructure à l’envolée des demandes, mais cela n’excuse pas pour autant plusieurs points importants, dont la tromperie autour du chiffrement de bout en bout ou les indélicatesses sur le terrain du RGPD, dont l'impérieuse obligation de sécurisation.

Il est donc recommandé aux hôtes de configurer soigneusement leur client, particulièrement si le lien est public :

  • Basculer le partage d’écran sur « Hôte uniquement »
  • Désactiver « Rejoindre avant l’hôte » pour interdire aux participants d’arriver avant
  • Activer la fonction « Co-hôte » permettant d’assigner un rôle de modérateur à d’autres
  • Désactiver les transferts de fichier pour éviter tout risque de diffusion de malwares
  • Désactiver la possibilité pour les participants de revenir après être partis

Mais il serait surtout bon que Zoom revoie sérieusement la configuration par défaut de son client pour éviter au maximum les soucis mentionnés précédemment. Ce qui a été fait au cours des derniers jours pour les écoles.

L’éditeur a d’ailleurs réagi, car sa nouvelle place de géant de la visioconférence impose d’importantes responsabilités. Dans un long billet de blog, son PDG Eric S. Yuan a commencé par donner quelques chiffres. 90 000 écoles dans une vingtaine de pays utilisent ainsi le service. Le nombre d’utilisateurs est passé, lui, de 10 millions en décembre à 200 millions en mars. 20 fois plus en trois mois. En outre, il indique clairement que le seul objectif de l’entreprise ces dernières semaines a été de tenir la charge devant cet afflux massif.

Surtout, Zoom annonce un gel de ses développements pour 90 jours. Période durant laquelle les équipes se consacreront exclusivement à la sécurité et à la protection de la vie privée. « Nous reconnaissons que nous n’avons pas été à la hauteur des attentes de la communauté » ajoute Yuan.

« Nous n’avons pas conçu le produit dans l’idée que, en quelques semaines, n’importe quelle personne dans le monde pourrait soudainement travailler, étudier et socialiser depuis son domicile. Nous avons maintenant un panel beaucoup plus large d’utilisateurs se servant de notre produit d’une myriade de façons inattendues, nous imposant des défis que nous n’avons pas anticipés quand la plateforme a été conçue ».

Plusieurs mises à jour ont été publiées depuis environ deux semaines pour corriger au plus vite les éléments découverts. D‘autres réclameront plus de temps. Zoom n’a fourni aucune liste d’éléments à travailler, on ne sait donc pas à quels problèmes l’entreprise s’attaquera en priorité. On imagine que les failles et problèmes les plus évidents seront traités en priorité.

Quant au chiffrement de bout en bout, il n’y aura pas de solution simple. Zoom a mis à jour sa page relative à la vie privée pour clarifier la situation et ne plus faire de fausse promesse. Il est probable que l’entreprise n’active pas de chiffrement E2E, car la simplicité d’utilisation reste son premier argument commercial. Cela ne doit pas empêcher les clients de respecter la vie privée des utilisateurs et de fournir un socle décent de sécurité.

Commentaires (40)


Allô, l’ANSSI ?



Ah non, ils doivent être confinés. Rien, absolument rien sur leur site et à ma connaissance, aucune communication vers les RSSI.


Côté CNRS Zoom est interdit par la DSI.


idem dans ma boite



cela dit la vidéo c’est gadget, le téléphone suffit. Voir la tronche des collègues je m’en tamponne <img data-src=" />


bloqué chez moi aussi :)

&nbsp;


Comme d’hab, la sécurité sacrifiée sur l’autel de la simplicité … <img data-src=" />


700 personnes à minima pour un soft pleins de trous, ça pique&nbsp;<img data-src=" />


ce n’est que la politique apparemment&nbsp; ….


Pas compatible ZRR (argument de la DSI du labo pour ne pas l’utiliser)


mais l’action monte en fleche !



chapeau bas pour 2 girls one cup :)


Dommage de na pas avoir parlé des offres sécurisées possibles pour un usage professionnel (ou usage confidentiel) comme par exemple la solution de TIXEO labellisée ANSSI depuis 3 ans


Incompétence. Il n’y a pas d’autres mots.



Aussi peu de sécurité (disons même aucune), ça donne le niveau incroyablement bas des “développeurs”.

Il faut quoi pour travailler là-bas ?

Équivalent BAC / BTS ?



Avoir autant de personnes et aucune qui pense à la sécurité …


“Just a by the by: “private” messages sent to individual people during a Zoom meeting show up in the end-of-meeting transcript along with all other public messages.”

Je sens qu’on n’a pas fini de se facepalmer avec ce logiciel.


Quand je pense qu’un collègue voulait qu’on l’utilise… Heureusement que j’ai refusé en disant : quoi? Utiliser un soft non autorisé pour communiquer sur nos postes de travail ?


Cette merde a 700 employés? <img data-src=" />

D’où leur vient l’argent pour payer autant de salaires ?


Le genre d’article que j’aurai aimé avoir en accès libre pour le diffuser massivement. C’est de l’intérêt publique majeur à ce niveau là.


Article bourré de fautes de français et d’orthographe, ce qui n’arrivait jamais jusque là. Relisez-vous!


Merci de vous être inscrit juste pour faire de la pubilicité.



Un petit URL vers le site web de TIXIEO ou bien la page web de l’ANNSSI évoquant la labellisation aurait apprécié.



Et un petit délcaratif sur vous, et vos liens d’intérêts cela aurait bien. Un bon point de ne pas avoir pris de pseudo, je sais que vous êtes consultant en sécurité informatique.


Salut collègue CNRS



Tu as un lien ? Chez nous, c’est zoom à fond… “Installez le client”, qu’ils disent..

&nbsp;


Bonjour,

Merci pour ce récap complet des risques à utiliser Zoom.



Je suggère que cette article passe complet pour les non-abonnés.

Les circonstances actuelles poussant professionnels et particuliers à trouver des solution de vidéo-conférence j’ai besoin d’avertir mon entourage sur les risques de cette appli qui est très plébiscité pour sa “simplicité”, j’imagine ne pas être le seul dans ce cas ^^.



Pour le moment j’ai fait un export pdf de l’article (mode lecture de firefox) pour partager à un groupe d’amis mais c’est bof comme solution de partage ^^


Je conseillerais Jitsi mais les perfs ne sont pas ouf quand on dépasse un certain nombre d’utilisateurs sur certains navigateurs. Mais au moins c’est sécurisé avec mot de passe si on veut, dans un navigateur, et c’est chiffré.


Salut collègue CNRS,

&nbsp;

Tu peux proposerDeux solutions :




  • rendez vous renater (jitsi), qui a multiplié par 4 sa capacité cette semaine

  • tixeo (qui est en cours de déploiement) qui devrait être fonctionnel la semaine prochaine



    Et pour les enseignants-chercheurs, l’instance educ-nat de scaleway.



    – En fait c’est pas tout à fait ta question je te retrouve l’info pour ne pas utiliser Zoom (qui est plutôt ce qui est recommandé en fait).

    https://intranet.cnrs.fr/Cnrs_pratique/partir_mission/Pages/Coronavirus–consign…




Ce qui signifie, en clair, que Zoom se sert de TLS, donc du chiffrement

de la connexion elle-même. Mais sans le «&nbsp;de bout en bout&nbsp;», cette

opération est en fait la même que n’importe quel site HTTPS&nbsp;: les

données sont protégées pendant le voyage, mais ne sont pas en

elles-mêmes chiffrées. Elles sont parfaitement lisibles sur les serveurs

de Zoom par des employés un peu trop curieux. Ce qu’ils ont stricte

interdiction de faire, a précisé Zoom.





C’est un argument souvent mis en avant, notamment chez les hébergeurs cloud et aurtes outils de sauvegardes en ligne. A plusieurs reprises, j’ai demandé des précisions avant inscription, à chaque fois la réponse met en avant la connexion chiffrée, mais silence sur le chiffrement des données stockées.


Malheureux, pourquoi poser la question qui fâche?? Ils ont chiffré avec le code de César !!

&nbsp;


Dommage, ROT13 est bien plus sécurisé ! Surtout si on l’applique 2 fois, c’est encore mieux <img data-src=" />


Deux fois dans le même sens, sinon ça s”annule !








Quiproquo a écrit :



Deux fois dans le même sens, sinon ça s”annule !



Parce que ca ne s’annule pas si on fait 2 fois dans le même sens? <img data-src=" />



Si j’ai besoin de rien je fais appel à Qwant.


Les commentaire, c’est plus ce que c’était. Avec l’épidémie de COVID-19, tous les vieux ont calanché, plus personne ne comprend les vieilles références… <img data-src=" />








Quiproquo a écrit :



Les commentaire, c’est plus ce que c’était. Avec l’épidémie de COVID-19, tous les vieux ont calanché, plus personne ne comprend les vieilles références… <img data-src=" />





De ton commentaire, j’en déduis qu’ils n’ont pas tous “calanché” puisque t’es ici <img data-src=" />



Oui, et j’espère qu’il reste encore un ou deux autres vieux schnocks qui étaient en âge de regarder M6 au milieu des années 2000…



<img data-src=" />








Arcy a écrit :



Incompétence. Il n’y a pas d’autres mots.



Aussi peu de sécurité (disons même aucune), ça donne le niveau incroyablement bas des “développeurs”.

Il faut quoi pour travailler là-bas ?

Équivalent BAC / BTS ?



Avoir autant de personnes et aucune qui pense à la sécurité …





Et en quoi un BAC ou BTS bosse plus mal qu’un ingénieur ?

C’est quoi cette manière de dénigrer les diplômes !



A vous lire, l’intelligence n’est pas liée au niveau d’étude !



à mon avis, ce qu’il a voulu dire, c’est qu’en général, en BAC/BTS, ce qu’on étudie niveau sécurité du code est laaaargement moins poussé qu’au niveau ingé …


Je pense cela dépend surtout du milieu dans lequel on bosse et non son niveau d’étude.


Je pense que j’ai une bien meilleure culture de la sécu avec mon bac+3 que la plupart de mes collègues qui ont fait de grandes écoles d’ingénieur et qui s’en tamponnent le coquillart, et j’ai rien contre mes collègues, ce sont des humains plutôt intelligents. Souvent plus que moi d’ailleurs.



C’est juste que la sécurité ça ne peut pas être juste des règles et des méthodes c’est une culture. C’est une culture qui nécessite en plus des gens qui ont une vision d’ensemble de tous le système de l’entreprise.


Article intéressant: Zoom a été dégommé dans les grandes formes.

Il manque juste un tout petit truc: des propositions de solutions alternatives qui tiennent la route pour 200 millions d’utilisateurs en dehors des GAFAM et affiliés.


Le truc c’est qu’il n’y a pas un seul type d’intelligence, et que sa définition change en fonction de la personne. <img data-src=" />


C’est exactement ça en fait. Si une entreprise veut produire des softs sécurisés, il ne lui suffit pas de donner des méthodes à appliquer à des gens “intelligents” (quelle que soit la définition que l’on en donne). C’est nécessaire mais non suffisant.



Il faut soit former très sérieusement soit embaucher des gens déjà sensibles à ces aspects. Et là où c’est difficile c’est que penser “sécurité” demande à remettre en cause énormément de biais cognitifs: gestion des risques vs danger, être conscient des dangers et de leurs conséquences. La plupart des PMEs par exemple se croient à l’abri d’une attaque ciblée. Bien sûr les probabilités statistiques leurs donnent raison et elles ne développent aucune stratégie de défense bien solide. Dans la plupart des cas ça passe. Mais que se passe t-il si par malheur un concurrent malveillant paie un “black-hat” pour faire fuiter les données de tes clients ? Pas sûr qu’une petite PME puisse se relever d’un tel shitstorm.


C’est sûr que la sécurité c’est important et très difficile à mettre en œuvre, car ça coute beaucoup d’argents.


Salut collègue . Non, j’ai juste vu le RSSI qui pétait un plomb sur une liste mail en rappelant que l’usage était interdit.

Après, on a dû le bloquer niveau dns sur notre réseau et par notre vpn, beaucoup l’utilisait…








akeix a écrit :



Et en quoi un BAC ou BTS bosse plus mal qu’un ingénieur ?

C’est quoi cette manière de dénigrer les diplômes !



A vous lire, l’intelligence n’est pas liée au niveau d’étude !









Bill2 a écrit :



à mon avis, ce qu’il a voulu dire, c’est qu’en général, en BAC/BTS, ce qu’on étudie niveau sécurité du code est laaaargement moins poussé qu’au niveau ingé …



Disons qu’en BAC / BTS, si t’as vu le stockage de mots de passes en SHA-*, c’est déjà beaucoup (de mon coté, c’était MD5).



Donc soit tu as eu d’excellents profs (et dans ce cas, bravo), soit les cours ont été profondément remaniés depuis 4-5 ans …



Fermer