MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Zoom Video Communications, le spécialiste de la visioconférence dans le cloud présente les dernières avancées réalisées en matière de sécurité sur sa plateforme, notamment en matière de gestion des mots de passe, de renforcement des ID de réunion et de protection des enregistrements dans le cloud. Sous le feu de nombreuses critiques en matière de protection de la vie privée, Zoom avait annoncé que toutes ses ressources techniques étaient dorénavant concentrées sur la résolution de ces problèmes. La société est également revenue sur la mise en vente de très nombreux compte d’utilisateurs sur le DarkWeb.
Alex Stamos, ancien chef de la sécurité de Facebook, tout juste nommé RSSI de Zoom a expliqué que c’est un problème auquel sont confrontées la plupart des grandes entreprises telles que Yahoo, Facebook et Amazon. Il a également expliqué que ces identifiants ont très probablement été volés à des utilisateurs d’autres pays, mais qui utilisent le même mot de passe pour plusieurs comptes, ou à des utilisateurs qui ont installé des logiciels malveillants sur leur système. Zoom met en place des systèmes pour détecter si des personnes essaient des combinaisons de noms d’utilisateur et de mots de passe et les empêcher de réessayer. L’entreprise a également engagé plusieurs sociétés de renseignement pour trouver ces fichiers de mots de passe et les outils utilisés pour les créer, ainsi qu’une société qui a fermé des sites web tentant de tromper les utilisateurs pour qu’ils téléchargent des logiciels malveillants ou abandonnent leurs identifiants.
Exigences relatives au mot de passe : Pour les réunions et les webinaires, les propriétaires de compte et les administrateurs peuvent désormais configurer les exigences minimales en matière de mot de passe de réunion afin d’ajuster la longueur minimale et d’exiger des lettres, des chiffres et des caractères spéciaux, ou d’autoriser uniquement les mots de passe numériques. Tous les comptes Basic gratuits auront l’option alphanumérique activée par défaut.
Identifiants de réunion aléatoires : Les ID de réunions aléatoires uniques pour les réunions et webinaires nouvellement programmés seront composés de 11 chiffres au lieu de 9. Les identifiants personnels de réunion (PMI) resteront les mêmes.
Enregistrements dans le cloud : La protection par mot de passe pour les enregistrements partagés dans le cloud est désormais activée par défaut pour tous les comptes. Zoom a également amélioré la complexité des mots de passe sur les enregistrements dans le cloud.
Partage de fichiers avec des tiers : Les utilisateurs peuvent de nouveau utiliser des plateformes tierces, telles que Box, Dropbox et OneDrive, pour partager des fichiers sur la plateforme Zoom. Cette fonctionnalité avait été suspendue et vient d’être restaurée après un examen complet de la sécurité du processus.
Prévisualisation des messages de Chat Zoom : Les utilisateurs de Zoom Chat peuvent masquer l’aperçu du message pour les notifications du chat sur le bureau. Si cette fonction est désactivée, ils seront simplement avertis que de l’arrivée d’un nouveau message sans afficher le contenu du message.
Routage des données dans les datacenters : À partir du 18 avril, les propriétaires de compte payant pourront choisir quelles régions de datacenters peuvent être utilisées, ou non, pour le transit de leurs données lors des réunions Zoom.
Zoom a également renforcé son programme de Bug Bounty, comme la société l’avait annoncé. La société travaille dorénavant avec Luta Security pour revoir son programme de Bug Bounty. Luta Security a été fondée par Katie Moussouris, qui a créé certains des plus importants programmes de divulgation des vulnérabilités encore en cours aujourd’hui. Elle a lancé les programmes Microsoft Vulnerability Research et Symantec Vulnerability Research, et a également lancé les programmes bug bounty de Microsoft et du Pentagone. Luta Security évaluera le programme de Zoom de manière globale avec un plan de « rétablissement » de 90 jours, qui couvrira tous les processus internes de traitement des vulnérabilités.
