Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Visioconférence : Mozilla dresse une liste d’applications de confiance, dont Zoom

Visioconférence : Mozilla dresse une liste d’applications de confiance, dont Zoom

Le 29 avril 2020 à 09h20

Le père de Firefox s’est penché sur 15 services de visioconférence pour en vérifier le respect des règles élémentaires de sécurité. Il ne s’agit donc pas de tests complets, mais de ce que l’éditeur nomme les « Minimum Security Standards ».

Cinq critères sont donnés :

  • Données chiffrées
  • Réactivité sur les mises à jour de sécurité
  • Robustesse du mot de passe pour créer et se connecter
  • Gestion des vulnérabilités
  • Une politique claire de confidentialité

À l’aune de ces paramètres, 12 services sur 15 ont passé le test : Zoom, Google Duo/HangoutsMeet, Apple FaceTime, Skype, Facebook Messenger, WhatsApp, Jitsi Meet, Signal, Microsoft Teams, BlueJeans, GoTo Meeting et Cisco WebEx.

On peut s’étonner de la présence de Zoom, mais Mozilla note que les récentes mises à jour vont dans le bon sens et que les principaux points noirs ont été gommés. 

Cela étant, les standards posés par l’éditeur sont effectivement minimaux. On ne saurait s’attendre à moins tellement ils semblent évidents. Trois d’entre eux n’ont pourtant pas réussi le test : Houseparty, Discord et Doxy.me. Sur quoi échoue Discord ? Simplement la création du mot de passe, le service réclamant à peine six caractères. Plus grave, il est possible de ne le composer qu’avec un seul type de caractère. Mozilla a pu utiliser par exemple « 111111 ».

Dans l’ensemble, le billet de Mozilla ne « mange pas de pain » pour des habitués des règles de sécurité, mais a le mérite de rappeler l’essentiel. Notamment que toutes les applications testées chiffrent les données, mais que tous les chiffrements ne sont pas égaux. Rappelons que Zoom n’est passé que très récemment de l’AES-128 au 256.

Le 29 avril 2020 à 09h20

Commentaires (15)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

S’il n’y avait que ça comme problème avec Discord… Son respect de votre vie privée est catastrophique : https://forums.lecrabeinfo.net/topic/10601-discord-et-vie-priv%C3%A9e-article-tr… <img data-src=" />

votre avatar

Bizarre la fondation Mozilla a choisi RIOT im comme messagerie instantanée interne et elle ne l’inclue pas dans ses tests ?

&nbsp;

votre avatar

Quand Discord pète un câble t’oblige à fournir un N° de mobile pour vérifier et débloquer ton compte, c’est pas top en matière de vie privée.

votre avatar







Obidoub a écrit :



Quand Discord pète un câble t’oblige à fournir un N° de mobile pour vérifier et débloquer ton compte, c’est pas top en matière de vie privée.





Mouais, visiblement tous les nouveaux comptes Discord sont obligés de fournir un numéro de tel, même si on veut mettre de l’authentification par token… La sécurité a bon dos pour récupérer des numéros de tél…



Un truc à savoir pour discord mais ce ne sont pas les seuls, les documents diffusés dans les conversations privées sont “publics” dans le sens où si on a son URL on peut y accéder sans authentification.


votre avatar

il faudrait surtout que l’implémentation de WebRTC soit un peu plus propre, il y a encore quelques soucis et c’est plutôt gênant de pousser les utilisateurs (j’ai réussi jusqu’à maintenant à maintenir FF comme browser de référence dans ma boite) pas passer sur chrome pour stabiliser une connexion webConf WebRTC

votre avatar







eres a écrit :



il faudrait surtout que l’implémentation de WebRTC soit un peu plus propre, il y a encore quelques soucis et c’est plutôt gênant de pousser les utilisateurs (j’ai réussi jusqu’à maintenant à maintenir FF comme browser de référence dans ma boite) pas passer sur chrome pour stabiliser une connexion webConf WebRTC







Il y a un mode entreprise pour gérer Firefox avec toutes les contraintes inhérentes au monde professionnel ?


votre avatar



Rappelons que Zoom n’est passé que très récemment de l’AES-128 au 256.



l’AES-128 est largement suffisant aujourd’hui, sauf pour des utilisations ou vous risquez d’être la cible d’une organisation décidée à décrypter vos communications.



128 Bit or 256 Bit Encryption? - Computerphile - Youtube

votre avatar







bilbonsacquet a écrit :



Un truc à savoir pour discord mais ce ne sont pas les seuls, les documents diffusés dans les conversations privées sont “publics” dans le sens où si on a son URL on peut y accéder sans authentification.





sérieux ?? Donc genre si quelqu’un envoie un document de travail ou une photo privée (sans que ce soit olé-olé hein, je veux dire une photo d’amis, de famille etc), ce doc peut être vu par n’importe qui ??


votre avatar

Oui, mais il faut le lien URL.



En faite, la photo est uploader sur les serveur de discord, qui créer un lien URL et c’est ce lien qui est partagé avec ton contact (c’est la même interface si tu colle l’URL d’une image sur le web).

Il n’y a donc aucune protection qui garantie que seul les personnes dans la conversation puissent accéder aux images partagé, mais pour y accéder, il faut connaitre le lien.



Mais en soit, ce n’est pas caché par Discord, et vu le but premier de Discord (l’information privé attendu serait plus la stratégie de ta guilde dans la prochaine bataille), ce n’est pas forcément un problème de conception. Après, si tu utilises une clé à molette pour enfoncer des vis, ne t’attend pas que ça soit top.

votre avatar







fred131 a écrit :



Bizarre la fondation Mozilla a choisi RIOT im comme messagerie instantanée interne et elle ne l’inclue pas dans ses tests ?

&nbsp;



En fait, RIOT n’est qu’une application pour utiliser Matrix, le remplaçant de IRC pour Mozilla.

Matrix ne propose que du chat textuel avec images ou vidéos.



Les appels audio/vidéo sont proposés via une instance Jitsi Meet et peuvent être intégrés au niveau de Riot (au de Matrix, je ne sais pas).



Dans la liste il est bien marqué qu’ils ont testé Jitsi Meet, donc tout va bien^^


votre avatar

Je viens de revérifier et Discord ne demande pas obligatoirement un numéro de téléphone pour les nouveaux comptes.

votre avatar

Données chiffrées



ZOOM ne chiffre pas de bout en bout; c’est données chiffrées de quelle manière ?


Comment ce produit gère-t-il la vie privée ? Il ne tient pas compte du RGPD ou de manière trés légère

votre avatar







Celestelium a écrit :



Je viens de revérifier et Discord ne demande pas obligatoirement un numéro de téléphone pour les nouveaux comptes.





Il ne te le demande pas mais si t’essayes de te connecter il te bloquera (détection “anti piratage”), c’est ce qu’il m’est arrivé et en cherchant sur le net j’ai vu que je n’étais pas le seul, loin de là… J’ai pu passer outre car j’ai retrouver un tout vieux compte Discord que j’avais et qui lui me permettait de me connecter sans num de tél…


votre avatar

Regarde du côté de la version ESR : non seulement elle permet une meilleure stabilité fonctionnelle (seuls les correctifs sécurité sont déployés au fil de l’eau), et il me semble que l’administrateur gérer assez finement la conf

votre avatar

« Sur quoi échoue Discord ? Simplement la création du mot de passe, le service réclamant à peine six caractères. Plus grave, il est possible de ne le composer qu’avec un seul type de caractère. Mozilla a pu utiliser par exemple “111111”. »

Ah non pitié… En quoi c’est un défaut de sécurité du service ??

Je trouve ça tellement saoulant les sites qui me disent ce que doit ou ne doit pas contenir mon mot de passe !!

Si j’ai pas envie de mettre de chiffre mais que mon mot de passe fait 64 caractères, ça va hein…

Le vrai problème ce sont plutôt les services qui interdisent certains caractères. J’ai du mal à comprendre qu’on ne puisse pas mettre une espace dans un mot de passe, ou qu’il ne puisse pas faire plus de 10 caractères (si si, ça existe encore). Ou qu’on ne puisse pas y mettre un smiley ou autre caractère ésotérique.

Visioconférence : Mozilla dresse une liste d’applications de confiance, dont Zoom

Fermer