L'accord FTC nécessite un zoom pour améliorer la sécurité

La FTC a annoncé un règlement global avec Zoom concernant de nombreuses lacunes présumées en matière de sécurité. Dans le cadre de l’accord, Zoom n’admet ni ne nie aucune des allégations.Les allégations de problèmes de sécurité incluent des lacunes de sécurité époustouflantes telles que le stockage d’enregistrements privés sur un stockage cloud non chiffré et l’absence de stratégies d’atténuation de la connexion par force brute. Certains changements sont incroyablement basiques, comme l’atténuation de l’atténuation du mot de passe par force brute, ce qui incite une personne à se demander si Zoom consacrait des ressources à la sécurité des utilisateurs.Plusieurs des principales allégations contre Zoom sont:

  • Utilisateurs trompés sur le niveau de sécurité
  • Stockage non chiffré des enregistrements dans le cloud
  • Contournement de la sécurité du navigateur Safari
  • Risque accru de vidéosurveillance
  • Notifications de version de logiciel trompeuses

Faux sentiment de sécurité

La plainte FTC allègue que Zoom s’est livrée à des pratiques qui ont donné aux consommateurs un faux sentiment de sécurité.Selon la FTC:« Dans de nombreux articles de blog, Zoom a spécifiquement présenté son niveau de cryptage comme une raison pour les clients et les clients potentiels d’utiliser les services de visioconférence de Zoom.Andrew Smith, directeur du Bureau de la protection des consommateurs de la FTC. « Les pratiques de sécurité de Zoom ne correspondaient pas à ses promesses, et cette action contribuera à garantir la protection des réunions Zoom et des données relatives aux utilisateurs de Zoom. »

L'accord FTC nécessite un zoom pour améliorer la sécurité

Zoom présumé avoir un risque accru de vidéosurveillance

Dans l’allégation peut-être la plus inquiétante, la FTC a déclaré que l’approche de Zoom en matière de sécurité augmentait la possibilité que des étrangers puissent accéder à des vidéos privées.La FTC allègue:« … Zoom n’a pas mis en œuvre de mesures compensatoires pour protéger la sécurité des utilisateurs, et a augmenté le risque pour les utilisateurs de la vidéosurveillance à distance par des étrangers. Le logiciel est resté sur les ordinateurs des utilisateurs même après la suppression de l’application Zoom, et réinstallerait automatiquement l’application Zoom – sans aucune action de l’utilisateur – dans certaines circonstances.La plainte allègue que le déploiement de ZoomOpener par Zoom, sans préavis ni consentement de l’utilisateur, était injuste et enfreint la loi FTC. « 

Utilisateurs trompés sur la sécurité

La FTC a allégué que Zoom avait menti aux utilisateurs en garantissant aux utilisateurs un « cryptage 256 bits de bout en bout » alors qu’en fait, Zoom utilisait un cryptage moindre. Le cryptage de bout en bout est lorsque les données envoyées sont sécurisées à chaque extrémité, où seuls les utilisateurs peuvent accéder aux informations.La FTC allègue que ce n’était pas du tout le cas, que Zoom a pu s’introduire dans des réunions privées Zoom et que le le niveau de confidentialité était inférieur à celui de la publicité.

Stockage cloud non chiffré

L’allégation la plus surprenante contre Zoom est peut-être que les vidéos privées ont été stockées non cryptées dans le cloud.Voici ce que la plainte FTC alléguait:« Zoom a également induit en erreur certains utilisateurs qui voulaient stocker des réunions enregistrées sur le stockage cloud de l’entreprise en affirmant à tort que ces réunions avaient été cryptées immédiatement après la fin de la réunion. Au lieu de cela, certains enregistrements auraient été stockés non cryptés pendant 60 jours sur les serveurs de Zoom avant d’être transférés. à son stockage cloud sécurisé. « 

Accord proposé par la FTC

La proposition FTC comporte de nombreuses activités liées à la sécurité auxquelles Zoom doit se conformer. Tous semblent assez basiques et de bon sens.Voici un aperçu des exigences de sécurité:

  • Évaluation annuelle de la sécurité
  • Développer des moyens de se prémunir contre les risques de sécurité
  • Mettre en place un programme de gestion des vulnérabilités
  • Créez des politiques pour vous protéger contre les attaques en ligne
  • Créer des garanties contre l’accès non autorisé à son réseau
  • Évaluations biennales de la sécurité par des tiers

Protections contre les pirates

Une partie de ce qui est requis semble si basique que l’on doit se demander pourquoi Zoom ne disposait pas de ces fonctionnalités au départ. Par exemple, l’une des fonctionnalités est la limitation du taux sur les tentatives de connexion.La limitation du taux est le processus de détection lorsqu’un logiciel appelé Bot demande rapidement des pages Web et de les bloquer du site Web. Le blocage de ces types de robots les empêche d’essayer de deviner le mot de passe. De nombreux systèmes de gestion de contenu Web incluent différentes formes de limitation de débit ou peuvent l’avoir avec un plugin. Il est donc très surprenant que Zoom doive être requis pour l’utiliser, c’est une sorte de niveau de sécurité 101 que tous les sites devraient avoir.Par exemple, le logiciel de forum open source connu sous le nom de phpBB a une limitation de débit de base intégrée qui permet l’anti-spambot mesures à prendre après un nombre défini de tentatives de connexion.Les éditeurs WordPress ont une multitude de plugins qui peuvent limiter le nombre de fois où un bot peut essayer de deviner un mot de passe, puis les empêcher d’accéder au site.La FTC demande à Zoom d’établir des politiques de protection contre les attaques en ligne (comme les attaques par estimation de mot de passe), en exigeant que les utilisateurs de Zoom utilisent des mots de passe forts, pour commencer à utiliser des procédures d’identification de bot pour empêcher les pirates d’attaquer la connexion, limiter le taux de tentatives de connexion et forcer la réinitialisation des mots de passe lorsque les informations d’identification sont compromises. Toutes les mesures ci-dessus sont des mesures anti-piratage raisonnables.

Établir un programme de gestion des vulnérabilités

L’accord FTC oblige également Zoom à mettre en place des mesures de sécurité proactives, telles qu’une analyse de sécurité trimestrielle, ainsi qu’une évaluation de la sécurité par un tiers et des tests de résistance. Le test de résistance consiste à effectuer des tests de résistance lorsqu’une entreprise de sécurité inspecte et sonde le site pour des problèmes de sécurité. Voici comment la FTC décrit l’analyse trimestrielle: « Effectuer des analyses de vulnérabilité des réseaux et des systèmes du répondant au moins une fois par trimestre… »

Zoom accepte de protéger les utilisateurs à partir de maintenant

Dans l’ensemble, l’accord exige que Zoom entreprenne des tâches et des activités raisonnables liées à la sécurité.Considérant que Zoom est utilisé par les entreprises pour lesquelles la sécurité est essentielle ainsi que par les consommateurs qui attendent la confidentialité, ces mesures devraient contribuer grandement à empêcher un faille de sécurité, ce qui est bon pour Zoom et leurs clients. « Zoom a accepté une exigence d’établir et de mettre en œuvre un programme de sécurité complet, une interdiction des fausses déclarations de confidentialité et de sécurité, et d’autres mesures détaillées et spécifiques pour protéger sa base d’utilisateurs, qui a est passé de 10 millions en décembre 2019 à 300 millions en avril 2020 lors de la pandémie COVID-19. « 

Citation

Annonce officielle de la Federal Trade Commission (FTC)

FTC a besoin de Zoom pour améliorer ses pratiques de sécurité dans le cadre du règlement