En direct
Best of
Best of du 23 au 29 mai
En direct
Articles populaires
Période :
24 heures
7 jours
01.

Renault : l’Etat actionnaire solde les comptes de Carlos Ghosn et remet toute la stratégie à plat...

02.

Confinement : le nombre d'arrêts cardiaques et le taux de mortalité ont explosé

03.

Énergie renouvelable: la chute des prix dope (enfin) les espoirs de l’industrie du solaire

04.

L’IPTV, nouvelle vache à lait des mafias européennes

05.

Bernard Tapie suit un traitement expérimental en Belgique pour soigner son cancer "au dernier degré"

06.

Face à la crise économique violente et les critiques, Riyad accélère son projet de ville pharaonique "NEOM"

07.

Infections respiratoires : la grande peur de la grande grippe

01.

Virus d’un nouveau type : toutes ces données sur le Coronavirus que nous ne maîtrisons toujours pas

02.

Deuxième vague du coronavirus… ou pas : le point sur ce qu’en savent aujourd'hui les scientifiques

03.

Renault : l’Etat actionnaire solde les comptes de Carlos Ghosn et remet toute la stratégie à plat...

04.

L’IPTV, nouvelle vache à lait des mafias européennes

05.

Zappé ? Pire que la colère, Emmanuel Macron face à l’indifférence des Français

06.

Voici les paroles du Chant des Partisans, version Camélia Jordana : "ami entends-tu ces cris sourds de la banlieue qu’on enchaîne ?"

01.

Le syndrome Raoult : anatomie d’un malaise français

02.

Zappé ? Pire que la colère, Emmanuel Macron face à l’indifférence des Français

03.

Voici les paroles du Chant des Partisans, version Camélia Jordana : "ami entends-tu ces cris sourds de la banlieue qu’on enchaîne ?"

04.

Zemmour face à Onfray : pourfendeurs ET promoteurs de postures idéologiques

05.

Ce syndrome Camélia Jordana qui affaiblit la démocratie française

06.

Emmanuel Macron dévoile un plan de soutien "massif" envers le secteur automobile et annonce la hausse des primes à l'achat de voitures électriques

ça vient d'être publié
rendez-vous > Science
Atlantico Sciences
SpaceX : revivez le lancement réussi du premier vol habité de Crew Dragon ; Proxima b est confirmée ! Il y a bien une exoterre dans la zone habitable de l’étoile la plus proche de nous
il y a 38 min 3 sec
décryptage > Culture
Atlantico Litterati

Le maître du « je »

il y a 2 heures 17 min
décryptage > France
État providence et modèle social français

1945 : l’héritage béni devenu largement toxique

il y a 2 heures 40 min
décryptage > International
Symptômes d’un nouveau conflit

Nouvelle guerre froide avec la Chine : l’Occident affaibli par les combats progressistes radicaux

il y a 3 heures 23 min
décryptage > Politique
Mains tendues

Macron/Collomb : le match du meilleur instinct pour 2022

il y a 3 heures 48 min
décryptage > Europe
Jésus reviens, ils sont devenus fous

La Pologne : un royaume où règne la droite la plus bête du monde

il y a 3 heures 50 min
décryptage > Economie
Crise

Les crédits aux PME sont insuffisants !

il y a 3 heures 51 min
pépites > Société
Fin de vie
Meurthe-et-Moselle : une centenaire en grève de la faim pour obtenir "le droit de mourir"
il y a 21 heures 4 min
pépites > Société
Fin de l'accalmie
Déconfinement : la Sécurité routière s'inquiète d'une surmortalité "alarmante"
il y a 21 heures 52 min
light > People
Rétrogradage
Kylie Jenner accusée d'avoir menti sur sa fortune : "Forbes" la retire de sa liste des milliardaires
il y a 22 heures 40 min
pépite vidéo > Science
Starman
SpaceX : les meilleurs moments du lancement de la capsule habitée Crew Dragon
il y a 1 heure 39 min
décryptage > High-tech
Espionnage

La NSA lance une alerte sur le piratage par les hackers russes de nos serveurs d’emails

il y a 2 heures 26 min
décryptage > Science
Nouvelle donne

Vol habité de SpaceX : le retour de la conquête spatiale ?

il y a 3 heures 8 min
rendez-vous > Environnement
Atlantico Green
Planter des arbres n’est pas toujours bon pour la planète
il y a 3 heures 48 min
décryptage > Santé
Bonnes feuilles

La mondialisation : un vecteur favorable pour les épidémies ?

il y a 3 heures 50 min
décryptage > Société
Drame

"Salle de traite", la pièce de théâtre sur le suicide d'un éleveur laitier

il y a 3 heures 50 min
pépites > Santé
Victimes indirectes
Confinement : le nombre d'arrêts cardiaques et le taux de mortalité ont explosé
il y a 20 heures 33 min
pépite vidéo > International
Embrasement
Mort de George Floyd : Des manifestations éclatent dans tous les Etats-Unis
il y a 21 heures 31 min
light > People
Recherche
Bernard Tapie suit un traitement expérimental en Belgique pour soigner son cancer "au dernier degré"
il y a 22 heures 11 min
pépite vidéo > Politique
Débat
Eric Zemmour face à Michel Onfray : retrouvez leur débat sur l'avenir de la gauche en France
il y a 23 heures 3 min
© Olivier Douliery / AFP
© Olivier Douliery / AFP
Applis stars du confinement

Voilà comment Zoom et House party peuvent menacer vos données professionnelles ou personnelles

Publié le 04 avril 2020
L'utilisation des applications Zoom et Houseparty - spécialistes dans les vidéo-conférences - a explosé en ces périodes de confinement. Or, depuis quelques jours, il semblerait que des hackers utilisent ces applications afin de voler les données de milliers d'utilisateurs. L'entreprise SpaceX a même interdit à ses employés de les utiliser.
Jean-Paul Pinte est docteur en information scientifique et technique. Maître de conférences à l'Université Catholique de Lille et expert  en cybercriminalité, il intervient en tant qu'expert au Collège Européen de la Police (CEPOL) et dans de nombreux...
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Jean-Paul Pinte
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Jean-Paul Pinte est docteur en information scientifique et technique. Maître de conférences à l'Université Catholique de Lille et expert  en cybercriminalité, il intervient en tant qu'expert au Collège Européen de la Police (CEPOL) et dans de nombreux...
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
L'utilisation des applications Zoom et Houseparty - spécialistes dans les vidéo-conférences - a explosé en ces périodes de confinement. Or, depuis quelques jours, il semblerait que des hackers utilisent ces applications afin de voler les données de milliers d'utilisateurs. L'entreprise SpaceX a même interdit à ses employés de les utiliser.

Atlantico : Pouvez-vous nous expliquer comment les hackers, concrètement, volent les données/informations des utilisateurs ? De quelle manière le font-ils ? Quelles conséquences cela a sur les entreprises/gouvernements/gens ?

Jean-Paul Pinte : L’explosion de l’utilisation des formations en ligne nécessaire aux e-learning et blended-learning dans les enseignements voire dans le télétravail est sans précédent. Entre le 14 et le 21 mars, il y a aurait-eu rien que pour la seule plateforme Zoom 62 millions de téléchargements ! De nouvelles révélations de The Intercept laissent penser que cette application ne chiffrerait pas vos données de bout en bout. La version iOS de son application a été accusée de transmettre nos données par exemple à Facebook (Despite misleading marketing, the Zoom video conferencing service actually does not support end-to-end encryption for video and audio content, at least as the term is commonly understood. https://t.co/OSUg3WPdGYThe Intercept, 1er avril 2020).

Zoom prétend implémenter un cryptage de bout en bout, largement compris comme la forme de communication Internet la plus privée, protégeant les conversations de toutes les parties extérieures. En fait, Zoom utilise sa propre définition du terme, celle qui permet à Zoom d'accéder à la vidéo et à l'audio non chiffrés à partir des réunions.

Dans le livre blanc de Zoom, il existe une liste de «fonctionnalités de sécurité avant la réunion» disponibles pour l'hôte de la réunion qui commence par «Activer une réunion chiffrée de bout en bout (E2E)». Plus loin dans le livre blanc, il répertorie « Sécuriser une réunion avec le cryptage E2E» comme une «capacité de sécurité en réunion» disponible pour les hôtes de réunion. Lorsqu'un hôte démarre une réunion avec le paramètre «Exiger le cryptage pour les points de terminaison tiers» activé, les participants voient un cadenas vert qui dit, «Zoom utilise une connexion cryptée de bout en bout» lorsqu'ils passent la souris dessus.

Toujours dans son livre blanc sur la sécurité et l'interface utilisateur de l'application, le service ne prend pas en charge le cryptage de bout en bout pour le contenu vidéo et audio, du moins comme le terme est communément compris. Au lieu de cela, il offre ce qu'on appelle habituellement le cryptage de transport. Il y existe une liste de «fonctionnalités de sécurité avant la réunion» disponibles pour l'hôte de la réunion qui commence par «Activer une réunion chiffrée de bout en bout (E2E)». Plus loin dans le livre blanc, il répertorie «Sécuriser une réunion avec le cryptage E2E» comme une «capacité de sécurité en réunion» disponible pour les hôtes de réunion. Lorsqu'un hôte démarre une réunion avec le paramètre «Exiger le cryptage pour les points de terminaison tiers» activé, les participants voient un cadenas vert qui dit, «Zoom utilise une connexion cryptée de bout en bout» lorsqu'ils passent la souris dessus.

Les hackers peuvent utiliser le technique qu’ils utilisent pour attaquer les site Web car le cryptage utilisé par Zoom pour protéger les réunions est TLS est la même technologie que les serveurs Web utilisent pour sécuriser les sites Web HTTPS. Cela signifie que la connexion entre l'application Zoom exécutée sur l'ordinateur ou le téléphone d'un utilisateur et le serveur Zoom est cryptée de la même manière que la connexion entre votre navigateur Web et cet article (sur https://theintercept.com) est cryptée. Il s'agit du cryptage de transport, qui est différent du cryptage de bout en bout car le service Zoom lui-même peut accéder au contenu vidéo et audio non crypté des réunions Zoom. Ainsi, lorsque vous avez une réunion Zoom, le contenu vidéo et audio restera privé de toute personne espionnant votre Wi-Fi, mais il ne restera pas privé de la société. (Dans un communiqué, Zoom a déclaré qu'il n'accédait pas, n'exploite pas ou ne vend pas directement les données des utilisateurs; voir plus bas.)

On peut lire sur le site The Intercept que pour qu'une réunion Zoom soit chiffrée de bout en bout, le contenu vidéo et audio devrait être chiffré de telle sorte que seuls les participants à la réunion ont la possibilité de le déchiffrer. Le service Zoom lui-même pourrait avoir accès au contenu de la réunion cryptée, mais n'aurait pas les clés de cryptage nécessaires pour le décrypter (seuls les participants à la réunion auraient ces clés) et, par conséquent, n'aurait pas la capacité technique d'écouter vos réunions privées. Voici comment fonctionne le chiffrement de bout en bout dans les applications de messagerie comme Signal: le service Signal facilite l'envoi de messages chiffrés entre utilisateurs, mais n'a pas les clés de chiffrement nécessaires pour déchiffrer ces messages et, par conséquent, ne peut pas accéder à leur contenu non chiffré.

Matthew Green, cryptographe et professeur d'informatique à l'Université Johns Hopkins, souligne que la vidéoconférence de groupe est difficile à chiffrer de bout en bout. En effet, le fournisseur de services doit détecter qui parle pour agir comme un standard téléphonique, ce qui lui permet d'envoyer uniquement un flux vidéo haute résolution de la personne qui parle en ce moment, ou qu'un utilisateur sélectionne pour le reste du groupe, et d'envoyer des flux vidéo en basse résolution d'autres participants. Ce type d'optimisation est beaucoup plus facile si le fournisseur de services peut tout voir car il n'est pas chiffré.

L’impact des vols de données sur ces plateformes est alors immense pour les entreprises et il y a 8 jours Windows 10 : Zoom a été victime d’une énorme faille de sécurité via un simple lien, un attaquant de voler est en mesure de voler les informations d’identification d’un utilisateur. Zoom, comme tout logiciel de visio qui se respecte, intègre également son propre outil de messagerie textuel. Les participants à une réunion peuvent donc s’envoyer des messages, mais également des liens. Et c’est là qu’un bug vient d’être découvert : en convertissant une adresse en un lien cliquable destiné aux autres participants, Zoom envoie aussi votre nom d’utilisateur et votre mot de passe, lequel peut être piraté en quelques secondes à l’aide d’un logiciel gratuit comme Hascat.

En conséquence de quoi, un hacker aurait tout loisir d’intercepter vos identifiants et pirater votre compte. La faille touche toutes les versions de Windows, qu’il s’agisse de Windows 10, Windows 8.1, Windows 7. En attendant qu’un correctif soit déployé, il existe une petite astuce permettant de combler la vulnérabilité en question.

On trouvera ici le moyen de ne pas se faire voler ses identifiants sur de telles plateformes.

Houseparty, autre exemple, qui permet de discuter par chat vidéo jusqu'à huit personnes, avale non seulement les contacts des répertoires téléphoniques, photos et lieux de résidence, mais aussi le contenu des conversations. Il n’est donc pas exempt de toute attaque car, au-delà de la collecte, c'est l'utilisation des données des utilisateurs et leur partage qui posent problème ! On peut ainsi lire sur ce site qu'il n'y aurait aucune confidentialité des échanges sur cette application, mais au surplus qu'il y a une sorte d'autorisation donnée à House Party d'utiliser tout ce qui se dit sur les chats !

Autre point important, la politique de confidentialité de Houseparty précise que les données peuvent être hébergées partout dans le monde, et notamment aux États-Unis. Les données peuvent donc traverser l'Atlantique, et le fait que la société soit américaine (Life On Air, Inc. est basée en Californie) a une conséquence : les autorités américaines peuvent lui enjoindre de communiquer les données des utilisateurs. Si cela est légal, les transferts de données doivent être strictement encadrés et expliqués aux utilisateurs.
 
Il y a donc urgence pour nos administrations, entreprises et institutions de s'intéresser à ces problématiques avant que ne s'ouvre sur la toile à ciel ouvert un nouveau marché illégal des données.

Des hackers ont également créé des logiciels (comme zWarDial) capables de deviner automatiquement - par des algorithmes - l'identité, le sujet de discussion, le lieu etc. de toute personne participant aux vidéo-conférences par exemple. Apple a porté plainte car des ordinateurs Mac ont été infectés par des virus installés par le biais de Zoom. Comment se protéger face à ces agissements ? 

Afin de trouver des appels Zoom à rejoindre sans invitation, les pirates utilisent un outil en ligne appelé zWarDial, un outil en ligne découvre automatiquement les réunions Zoom – y compris les réunions privées – et les pirates informatiques l’utilisent pour troller les gens

Brian Krebs a rapporté  que des mécréants ont écrit un programme appelé zWarDial pour deviner les numéros d’identification de réunion Zoom et ensuite rejoindre les appels sans y être invité. Vous pouvez protéger votre réunion par mot de passe, mais de nombreuses personnes ne le font pas – soit pour des raisons de commodité, soit parce qu’elles ne sont pas conscientes du risque de sécurité. Krebs écrit: « Lo a partagé le résultat d’une journée de numérisation zWarDial, qui a révélé des informations sur près de 2 400 réunions Zoom à venir ou récurrentes.

Ces informations comprenaient le lien nécessaire pour participer à chaque réunion; la date et l’heure de la réunion; le nom de l’organisateur de la réunion; et toute information fournie par l’organisateur de la réunion sur le sujet de la réunion. Les résultats ont été stupéfiants et ont révélé des détails sur les réunions Zoom prévues par certaines des plus grandes entreprises du monde, y compris les grandes banques, les sociétés de conseil internationales, les services de covoiturage, les entrepreneurs gouvernementaux et les sociétés de notation des investissements ».

Selon un nouveau rapport du chercheur en cybersécurité Brian Krebs. Chaque réunion Zoom a un ID de réunion unique, et zWarDial est un outil automatisé qui devine les ID jusqu’à ce qu’il en trouve un qui fonctionne. S’il n’y a pas de mot de passe lors d’une réunion, l’intrus sera instantanément ajouté à l’appel. La seule façon de se protéger contre de tels intrus est de définir un mot de passe pour la réunion. Bien que Zoom indique que les mots de passe sont désormais activés par défaut pour les nouveaux utilisateurs, les clients d’entreprise tels que les écoles et les entreprises peuvent ne pas avoir ce paramètre activé. La pratique du « Zoom-bombardement » est de plus en plus répandue, car les trolls font irruption dans des vidéoconférences non invitées à offenser ou ennuyer des étrangers.

Selon les bons conseils de ce site la page des paramètres de Zoom permet aux utilisateurs de configurer des mots de passe. Pour maximiser la sécurité, exigez un mot de passe pour toutes les réunions.

Les commentaires de cet article sont à lire ci-après
Le sujet vous intéresse ?
Articles populaires
Période :
24 heures
7 jours
01.

Renault : l’Etat actionnaire solde les comptes de Carlos Ghosn et remet toute la stratégie à plat...

02.

Confinement : le nombre d'arrêts cardiaques et le taux de mortalité ont explosé

03.

Énergie renouvelable: la chute des prix dope (enfin) les espoirs de l’industrie du solaire

04.

L’IPTV, nouvelle vache à lait des mafias européennes

05.

Bernard Tapie suit un traitement expérimental en Belgique pour soigner son cancer "au dernier degré"

06.

Face à la crise économique violente et les critiques, Riyad accélère son projet de ville pharaonique "NEOM"

07.

Infections respiratoires : la grande peur de la grande grippe

01.

Virus d’un nouveau type : toutes ces données sur le Coronavirus que nous ne maîtrisons toujours pas

02.

Deuxième vague du coronavirus… ou pas : le point sur ce qu’en savent aujourd'hui les scientifiques

03.

Renault : l’Etat actionnaire solde les comptes de Carlos Ghosn et remet toute la stratégie à plat...

04.

L’IPTV, nouvelle vache à lait des mafias européennes

05.

Zappé ? Pire que la colère, Emmanuel Macron face à l’indifférence des Français

06.

Voici les paroles du Chant des Partisans, version Camélia Jordana : "ami entends-tu ces cris sourds de la banlieue qu’on enchaîne ?"

01.

Le syndrome Raoult : anatomie d’un malaise français

02.

Zappé ? Pire que la colère, Emmanuel Macron face à l’indifférence des Français

03.

Voici les paroles du Chant des Partisans, version Camélia Jordana : "ami entends-tu ces cris sourds de la banlieue qu’on enchaîne ?"

04.

Zemmour face à Onfray : pourfendeurs ET promoteurs de postures idéologiques

05.

Ce syndrome Camélia Jordana qui affaiblit la démocratie française

06.

Emmanuel Macron dévoile un plan de soutien "massif" envers le secteur automobile et annonce la hausse des primes à l'achat de voitures électriques

Commentaires (0)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
*Toute validation est définitive, vous ne pourrez pas rééditer votre commentaire.
Pas d'autres commentaires