Zoom 5.0 va apporter les améliorations de sécurité promises, mais la route reste longue
Le 23 avril 2020 à 09h39
2 min
Logiciel
Logiciel
La nouvelle version sera déployée la semaine prochaine, avec à son bord les mesures annoncées récemment.
L’une des plus importantes est le passage du chiffrement à l’AES-256 GCM au lieu de l’AES-128 actuel. Le chiffrement ne sera toujours pas de bout en bout comme l’entreprise en faisait initialement la publicité, mais le renfort reste bienvenu.
Zoom 5.0 activera également plusieurs comportements par défaut, dont les mots de passe pour rejoindre la session. Il ne sera plus possible d’enregistrer les sessions sans un mot de passe. Même chose pour la salle d’attente, toujours active et nécessitant que l’initiateur de la session valide les arrivées. Une mesure pour limiter le « zoom-bombing ».
Comme annoncé plus tôt dans le mois, Zoom 5.0 présentera un bouton Sécurité réunissant toutes les fonctions liées. Enfin, les comptes payants pourront choisir la région dans laquelle ils souhaitent que les données soient routées.
Eric Yuan, PDG de l’entreprise, se dit fier du travail déjà accompli durant les trois mois de pause annoncés par l’entreprise pour se concentrer exclusivement sur la sécurité. Il ajoute cependant que « ce n’est qu’un début ». On attend de voir, le service de visioconférence ayant beaucoup à se faire pardonner.
Le 23 avril 2020 à 09h39
Commentaires (30)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 23/04/2020 à 10h01
En passant de 10 millions de connexions quotidiennes en décembre à 300 millions aujourd’hui, c’est un peu facile de leur tirer dessus maintenant.
Sinon le bouton sécurité, le mot de passe par défaut, et la salle d’attente par défaut, ça fait longtemps que c’est déployé.
Le 23/04/2020 à 10h09
Arrêtez mois si je me trompe, mais actuellement la validation d’un nouveau venu se fait d’une manière purement textuelle (texte et bouton).
Ne serait il pas plus sécure d’ajouter le visuel (cam) de la personne avant validation ?
Le 23/04/2020 à 10h25
Oui, je suis d’accord ma version 4.60 actuelle rassemble deja beaucoup des features listées dans l’article. Est-ce que la version 5.0 n’est pas que le passage au nouvel algo d’encryption?
Le 23/04/2020 à 10h28
Sauf que Dropbox avait prévenu Zoom en 2018 :
Next INpact
Aucune excuse.
Le 23/04/2020 à 10h51
Je comprends toujours pas pourquoi passer par Zoom lorsque Jitsi existe.
Où est la plus value de Zoom ?
Le 23/04/2020 à 10h53
C’est plus beau et plus simple pour monsieur tout le monde? (j’en sais rien, jamais utilisé, je passe par jitsi, mais je dirais que c’est une raison)
Le 23/04/2020 à 10h57
Même pas, Jitsi ne nécessite pas de compte, simplement un lien et un navigateur (ou une appli sur mobile).
Niveau simplicité Jitsi l’emporte et niveau interface c’est à peu près pareil (à part les fonctions lolilol comme l’arrière plan virtuel).
Le 23/04/2020 à 10h57
Apparemment (j’ai jamais expérimenté ni l’un, ni l’autre), Zoom a une capacité d’appels simultanés bien plus forte que la quasi-totalité des autres services d’appels (Jitsi inclu) avec des conférences avec plus de 100 personnes.
Le 23/04/2020 à 11h01
Bien possible, mais l’énorme majorité des appels sont faits à 2, voire une poignée, je pense. Donc ce n’est pas la raison de son utilisation qui a été multipliée par 30
Le 23/04/2020 à 11h04
Je sais bien, j’utilise toujours jitsi.
Mais pour beaucoup de gens, ça n’empêche que c’est moins simple (d’aspect en tous cas, avant d’avoir testé) parce que ça ressemble moins à ce qu’ils connaissent : un compte => un groupe de discussion => un appel.
Et côté interface, sur navigateur en tous cas, sans dire que ce soit moche, c’est pas non plus magnifique. Perso je m’en fous, mais encore une fois d’aspect ça fait moins “tout public”, et les fonctions lolilol dont tu parles, je ne sais pas ce qu’il y a , mais clairement ça peut jouer. Quand on voit que snapchat s’est développé parce qu’ils proposaient de mettre des oreilles de chien…
Le 23/04/2020 à 11h05
Après (ce n’est que mon expérience personnelle) mais Zoom est très proactif pour vendre ses services (l’avantage d’une levée de fonds de dizaines de millions de dollars).
Après Nvidia c’était eux qui passaient le plus souvent pour faire la pub de leurs outils à l’Université de Lyon par exemple.
Le 23/04/2020 à 11h07
Le 23/04/2020 à 11h15
Comme annoncé plus tôt dans le mois, Zoom 5.0 présentera un bouton Sécurité réunissant toutes les fonctions liées. Enfin, les comptes payants pourront choisir la région dans laquelle ils souhaitent que les données soient routées.
C’est à dire que les données soient routées ? Ils ne passent plus par la Chine :) ?
Le 23/04/2020 à 12h14
Le 23/04/2020 à 12h17
Benjamin Griveaux sort de ce corps
Le 23/04/2020 à 12h53
Je viens d’essayer Jitsi, ne connaissant pas jusque là. Pour voir j’ai lancé un meeting … J’ai écrit “test” en nom, je suis tombé dans un meeting existant avec plein de gens (car le nom donné est utilisé comme ID)… Au moins, avec Zoom, c’est un ID généré qu’il te donne pour le lien.
Mais par contre, effectivement on reste sur Zoom (pour les choses par confidentielles/importantes) car il permet d’avoir la caméra de tout le monde (+de 15 pour nous) et j’en connais pas d’autres pour l’instant qui permettent de le faire (et je ne compte pas Jitsi, évidement).
Le 23/04/2020 à 15h02
Le 23/04/2020 à 15h31
Affaire Benjamin Griveaux.
Le 23/04/2020 à 15h38
Oui je connais, mais quel est le rapport avec le schmilblick
" /> ?
Le 23/04/2020 à 16h39
Le 23/04/2020 à 16h46
Le 23/04/2020 à 16h50
Je viens d’essayer Jitsi, ne connaissant pas jusque là. Pour voir j’ai lancé un meeting … J’ai écrit “test” en nom, je suis tombé dans un meeting existant avec plein de gens (car le nom donné est utilisé comme ID)… Au moins, avec Zoom, c’est un ID généré qu’il te donne pour le lien.
Normal. meet.jit.si c’est seulement un site de démonstration pour les projets open-source “Jitsi Meet + Jitsi Videobridge”.
Ce n’est pas un service sécurisé offert aux particuliers ou aux entreprises.
Pour avoir de la sécurité, on peut au choix:
Le 23/04/2020 à 18h52
Ben les vidéos (soit-disant) éphémères…
Le 23/04/2020 à 20h02
Aucun rapport
" />
" />
Il n’a nul par été indiqué que Griveaux utilisait un service de vidéos éphémères et ce n’est de toute façon pas le sujet que j’aborde donc…
Fin bref.
Le 25/04/2020 à 20h37
Je ne comprends pas car étant exclusivement en 4G, Jitsi fonctionne sans problème pour ma part.
Ou alors je n’ai pas compris quand tu parles de “relais”
Le 26/04/2020 à 14h26
Le 27/04/2020 à 14h23
Le 27/04/2020 à 14h41
Le 30/04/2020 à 20h42
Sur DLFP, ils indiquent que la version 76 corrige les problèmes avec Jitsi. A voir avec le temps.
J’ai lu ton post précédent mais je n’ai pas l’expérience de l’instance perso, je passe soit par le site officiel ou bien les instances proposés par les C.H.A.T.O.N.S
J’ai juste lu plusieurs fois qu’une instance Jitsi Meet était très gourmande en ressources.
Par contre la 4G, je peux en témoigner car déjà j’utilise constamment Jitsi par ce biais (pas de box)
J’ai mené la semaine dernière l’enregistrement d’une émission de radio d’une heure avec un salon comprenant 6 participants (5 personnes + 1 machine dédiée à l’enregistrement du flux audio).
On était deux sur cinq dans la même maison, l’autre personne était sur PC/Firefox 76 beta avec sa propre connexion 4G (RED), la machine dédiée sous Linux Mint/Chromium avec une autre connexion 4G RED et moi avec une connexion 4G Free sur Mac/Chromium.
Je sais que deux autres personnes était sur mac et la dernière sur smartphone Android.
L’enregistrement s’est bien passé, quelques artefacts audio surtout pour une des personnes mais l’ensemble est parfaitement audible.
Après je précise que je ne suis pas dans le discours de “ça a marché pour moi donc ça doit marcher pour les autres”, j’ai bien conscience qu’on est sur des cas particuliers bien souvent. Mais c’était au moins pour répondre à tes interrogations sur l’utilisation de la 4G dans ce contexte.
Tu parles de ton expérience avec ta propre instance, est ce que tu rencontres les mêmes problèmes (son/image) avec d’autres instances ?
Le 01/05/2020 à 12h28
Je n’ai pas fait d’essais avec d’autres instances donc je ne parle que de mon cas.
Le gros problème est qu’il ne s’agit pas d’une simple application mais d’un montage compliqué reposant sur plusieurs composants hétéroclites, souvent mal documentés, et maintenus à part (plusieurs projets):
* Nginx (dans mon cas), pour servir les pages https et servir de proxy à prosody et à coturn ;
* Prosody, pour le protocole XMPP ;
* jicofo (un module java de jitsi-meet pour la gestion des connections) ;
* jitsi-videobridge appelé aussi jvb (un module java de jitsi-meet servant de relais son et image pour gérer les conversations à 3 et plus) ;
* coturn pour gérer les cas où jvb n’arrive pas à communiquer avec le port udp 100000 (c’est ça qui gène en 4G) ;
* Let’sencrypt pour fournir les certificats de nginx et de coturn.
Là où cela devient très compliqué est que les blocages opérés par les opérateurs de téléphonie impliquent l’usage exclusif des ports 80 et 443 pour communiquer. Cela nécessite donc de multiplexer les flux https et turn sur le port 443 en IPv4 et cela passe par un reverse proxy de flux.
Ce reverse proxy n’étant pas transparent et pas paramétrable au niveau des entêtes http, plus aucun site n’est en mesure de connaitre l’adresse IP de ceux qui se connectent. Là, je refuse net.
Un des premiers problèmes que j’ai eu à résoudre est que tous les services écoutaient sur toutes les adresses IP, ce qui est très sale.
Deuxième problème, coturn n’arrive pas à lire la clé privée des certificats Let’s encrypt car il n’est pas root (et ça, c’est prorpre).
Et ce n’est qu’une toute petite sélection vu que j’ai à peu près 60h de problèmes cumulés sur ce truc.
Ce n’est donc pas du tout à la portée de la plus-part des gens. Si vous n’êtes pas un sysadmin confirmé, passez votre chemin.
A côté, monter une instance Nexcloud fut super facile.