L’éditeur n’en finit plus d’annoncer des améliorations dans ce domaine, après la tempête du printemps dernier, les révélations sur ses carences flagrantes ou encore, plus récemment, après s’être fait taper sur les doigts par la FTC.
Il a présenté hier soir plusieurs apports disponibles dès maintenant. Par exemple, les hôtes et cohôtes peuvent maintenant mettre en pause une conférence pour prendre le temps de signaler un participant et l’enlever, via un bouton « Suspendre l’activité des participants ».
Le signalement est envoyé à l’équipe Trust and Safety de Zoom, qui pourra enquêter éventuellement sur l’activité du compte pointé. Bon point, la conférence peut être reprise en ne réactivant que certaines fonctions, voire une par une.
Les versions Windows, macOS, Linux, Android et iOS de l’application ont été mises à jour pour intégrer la nouvelle fonction. Les moutures web et VDI (virtual desktop infrastructure) passeront à la moulinette avant la fin de l’année.
Zoom a également activé son système At-Risk Meeting Notifier. Il s’agit d’un service interne dont la mission est de scanner en permanence les réseaux sociaux et autres sites pour y détecter des liens de conférences Zoom.
Dans l'idée d’empêcher autant que possible le « zoombombing », le service prévient les hôtes et futurs hôtes que le lien de leur réunion est devenu public. Le système conseille de créer une nouvelle conférence pour obtenir un nouvel identifiant. Des recommandations sont également fournies sur les fonctions de sécurité à activer pour réduire les risques.
Commentaires (5)
#1
Avec leur réputation qu’ils ont durement acquise, je me demande si ils annoncent de nouvelles fonctionnalités ou de nouveaux mensonges.
#2
De mon point de vu, le vrai pb c’est que bien des gens (pour pas dire tout le monde ou presque) en a rien a secouer de la sécurité.
Quand tu leur en parles ils ont toujours rien a cacher et voient pas le pb qu l’on sache plein de trucs sur eux et qu’on fasse du fric avec.
Du coup ce genre d’annonce j’ai l’impression que ça fait plaisir à la frange tolérante du dernier pourcent des informaticiens qui de toutes façons n’utiliseront pas zoom.
– Mode désespoir activé –
#3
Je suis toujours dubitatif sur le mot “sécurité” qui est toujours flou.
Ici, l’annonce est une fonctionnalité pour bannir plus facilement les utilisateur qui dérangent. L’autre annonce est un outil qui scan les réseaux sociaux pour savoir si le lien vers la réunion a été publié. Là encore, c’est une fonctionnalité pour éviter les invasions d’utilisateurs.
Les accusations plus anciennes de Zoom portaient sur la vie privé avec le chiffrement de bout en bout.
Dans tous ces exemples, pour moi rien ne parle de sécurité au sens intrusion d’un service par une personne non autorisée (désolé pour la définition rapide). Les premières parlent d’outils de modération alors que le chiffrement de bout en bout parle plutôt d’interception.
Zoom a un problème de fond : l’invitation par partage de lien et sans authentification ne permet pas de contrôler à priori qui se connecte à la conversation. Les solutions standards sont l’invitation de comptes enregistrés (ce que fait Skype, Whatsapp, etc). Le chiffrement de bout en bout n’y fera rien (c’est souvent un argument marketing et n’empêche pas le lien d’être partagé à n’importe qui).
Zoom repose sur la confiance aux utilisateurs. Tant qu’il ne changera pas son mode de fonctionnement, il faut avoir confiance aux personnes à qui on envoie le lien. Quant aux failles de sécurité et à la vie privé, c’est encore une autre question.
#4
Et dire que Sanofi utilise ce truc en interne pour construire leur usine EVF a 400 millions d’euros. Voilà comment la chine a une longueur d’avance.
#5
Le problème ici est le zoombombing : un utilisateur non désiré peut se connecter sans être invité, simplement en connaissant le lien de la conférence. Or jusqu’à présent, l’organisateur ne pouvait pas l’éjecter (si je comprends bien). Donc maintenant ça sera mieux. Mais je pensais qu’on pouvait aussi utiliser une salle d’attente, dans Zoom : l’utilisateur se connecte mais n’a pas accès à la réunion, et l’organisateur ne laisse rentrer que ceux qu’il souhaite. Dans tous les cas c’est de la sécurité, même si on s’appuie sur une fonctionnalité de l’application.
Pour augmenter la sécurité, il faut :
Si Zoom a eu du succès, c’est essentiellement parce que c’était facile de se connecter : le besoin était urgent en période de confinement. Question de choix.