Rapport de progression du plan de sécurité à 90 jours : 20 mai

Rapport de progression du plan de sécurité à 90 jours : 20 mai

Alors que nous poursuivons notre plan à 90 jours d’amélioration de la sécurité et de la confidentialité de notre plateforme, le webinaire « Posez toutes vos questions à Eric » de cette semaine a mis l’accent sur la sécurité des réunions, l’autorisation FedRaMP de Zoom Phone et le programme de recherche d’erreur de Zoom.

Le PDG de Zoom, Eric S. Yuan, a été rejoint par le Responsable de la sécurité de Zoom, Oded Gal, ainsi que par Lynn Haaland, Directrice juridique adjointe et Responsable de la conformité et de l’éthique de Zoom, ainsi que par Katie Moussouris, fondatrice et PDG de Luta Security. Brendan Ittelson, Responsable technique de Zoom, et Lea Kissner, Responsable de la technologie de confidentialité à l’échelle internationale de Google et conseillère de Zoom en matière de confidentialité et de chiffrement, les ont rejoints pour la session de Q. et R.

Mises à jour de la semaine passée et prévisions pour les prochaines semaines :

Points à retenir de la session de cette semaine

Autorisation FedRAMP approuvée pour Zoom Phone

Nous avons annoncé ce jour l’approbation de l’autorisation de Zoom Phone dans le cadre du programme FedRAMP des États-Unis. Cette autorisation permet désormais aux agences fédérales et sous-traitants du gouvernement américain d’utiliser Zoom Phone dans le cadre de notre offre existante, plus largement autorisée pour les gouvernements. Zoom pour les gouvernements fournit aux agences américaines une plateforme UCaaS Zoom complète, avec des fonctionnalités de réunion, de chat et de webinaires vidéo, des solutions de salle de conférence et, désormais, Zoom Phone.

Sécurité des réunions

Lynn Haaland a parlé de ce qu’a réalisé Zoom au cours des deux derniers mois pour contribuer à prévenir toute interruption de réunions par des personnes indésirables. Il s’agit notamment de l’ajout de paramètres de sécurité par défaut, comme des mots de passe et des salles d’attente pour certains utilisateurs, de l’apparition de contrôles de sécurité en cours de réunion dans l’icône de sécurité, de l’ajout de mécanismes de signalement, de la collaboration étroite avec la police et d’autres plateformes en ligne et de la sensibilisation des utilisateurs aux bonnes pratiques en matière de sécurité.

Lynn a également rappelé ces quelques conseils pour sécuriser vos réunions Zoom :

  • Ne partagez pas publiquement vos n° de réunion et/ou mots de passe.
  • Ne désactivez pas les fonctionnalités de sécurité par défaut de Zoom, et notamment les salles d’attente, les mots de passe et le partage d’écran restreint.
  • Familiarisez-vous avec nos fonctionnalités de confidentialité et de sécurité dédiées aux hôtes, comme la désactivation de la vidéo, la désactivation du son des participants, la suppression de participants et le verrouillage des réunions.
  • Utilisez l’inscription à une réunion.

Lynn a expliqué que Réunions Zoom n’est pas conçu pour des événements à grande échelle ou publics, pour lesquels l’invitation est publiée sur Internet. Pour ce type d’événement, nous vous invitons à utiliser plutôt les webinaires vidéo Zoom, qui permet un meilleur contrôle de l’auditoire et de l’expérience dans son ensemble. Pour plus de détails sur la comparaison entre réunions et webinaires, consultez notre page d’assistance.

Programme de recherche d’erreur de Zoom

Katie Moussouris, fondatrice et PDG de Luta Security et conseillère en sécurité de Zoom, a parlé du fonctionnement du programme de recherche d’erreur de Zoom, expliquant qu’il utilise un modèle collaboratif reposant sur l’ensemble des parties concernées, y compris des chercheurs dans le domaine de la sécurité, afin d’identifier et de signaler les éventuels problèmes. Elle a également souligné le fait qu’avant de mettre en œuvre la moindre modification de son programme de recherche d’erreur, Zoom sollicite les retours d’une vaste communauté afin d’optimiser les programmes concernés.

Rappel concernant Zoom 5.0

Zoom 5.0 est disponible depuis le 27 avril et le chiffrement GCM-AES 256 bits sera activé pour tous les comptes le 30 mai 2020. Seuls les clients Zoom version 5.0 ou supérieure, y compris Zoom Rooms, pourront participer à une réunion Zoom à compter de cette date. Si ce n’est déjà fait, nous invitons tous les utilisateurs à effectuer la mise à jour vers Zoom version 5.0 ou supérieure dès aujourd’hui. Les administrateurs Zoom, quant à eux, peuvent visiter notre page dédiée aux administrateurs IT afin de gérer cette mise à jour dans leur environnement. Les utilisateurs peuvent se faire une idée de l’expérience GCM à l’adresse zoom.us/testgcm.

Spécifications du chiffrement de bout en bout disponibles vendredi

Nous publierons les spécifications cryptographiques détaillées de notre offre de chiffrement de bout en bout ce vendredi sur GitHub. Nous animerons des discussions avec des experts en cryptographie, des clients, des lobbys et autres afin de solliciter leurs retours et d’évaluer le projet final.

Questions et réponses

Voici quelques-unes des questions posées en direct par les participants au webinaire de cette semaine :

Comment signaler un problème de sécurité ?

Rendez-vous sur la page zoom.us/security ou envoyez un e-mail à l’adresse security@zoom.us.

Si j’utilise un Chromebook, comment télécharger le client Zoom 5.0 ?

Les utilisateurs de Chromebook peuvent télécharger l’application Zoom Chromebook depuis le Google app store ou bien utiliser le client web Zoom, qui sera toujours à jour.

Les administrateurs de comptes sont-ils informés lorsqu’un utilisateur est signalé à Zoom ?

Lorsqu’un hôte ou un co-hôte utilise la fonctionnalité Signaler un utilisateur, un rapport est envoyé à l’équipe Trust & Safety de Zoom. Toutefois, nous envisageons à l’avenir d’informer les administrateurs de certains comptes lorsque l’un de leurs utilisateurs sera signalé dans certaines situations.

Est-ce que quelqu’un d’autre que l’hôte peut enregistrer une réunion ?

L’hôte peut autoriser l’accès d’un autre participant à l’enregistrement, mais personne ne peut démarrer l’enregistrement sans l’accord de l’hôte.

Pouvez-vous donner quelques détails sur les spécifications du chiffrement de bout en bout qui seront publiées le 22 mai ?

Le document qui sera publié le 22 mai partage notre plan et notre concept visant à mettre en place un service vidéo chiffré de bout en bout. Il ne contiendra aucun code. Nous souhaitons collecter et évaluer les retours avant de développer notre offre de chiffrement de bout en bout.

Est-il prévu d’autoriser un chat privé avec un utilisateur en salle d’attente afin de vérifier son identité ?

Oded a déclaré qu’il s’agit de l’une des demandes les plus fréquentes et que cette fonctionnalité figure sur notre feuille de route.

Pourquoi la fonctionnalité Rétablir le son de tous a-t-elle été supprimée et est-il prévu de la réintroduire ?

Nous avons supprimé la fonctionnalité Rétablir le son de tous de l’interface utilisateur, car les hôtes pouvaient rétablir le son des participants sans leur consentement. Nous réintroduirons cette fonctionnalité à l’avenir. Cependant, les hôtes devront avoir le consentement des participants pour rétablir leur son durant une réunion.

Merci pour votre soutien

Merci d’avoir participé à la session de cette semaine et merci à tous ceux qui ont soumis leurs questions ! Nous apprécions votre soutien dans notre ambition de faire de Zoom la plateforme de communication d’entreprise la plus sécurisée au monde.

Si vous avez manqué la session de cette semaine, vous pouvez regarder l’enregistrement ici :

Si vous souhaitez envoyer un commentaire ou une question à Zoom, envoyez un e-mail à l’adresse answers@zoom.us. Et n’oubliez pas de vous inscrire au webinaire « Posez vos questions à Eric » de la semaine prochaine.

Télécharger cet article au format PDF

N’oubliez pas de partager cet article