Zoom vient d’annoncer une vague de mesures pour renforcer sa sécurité, alors que plusieurs failles ont été découvertes permettant de subtiliser le mot de passe Windows de l’utilisateur et sous Mac d’ouvrir une connexion distante pour installer des logiciels malveillants.
En réponse à plusieurs alertes de sécurité récentes, Zoom, le spécialiste de la visioconférence dans le Cloud que de très nombreuses entreprises utilisent en ce moment même pour le télétravail, a annoncé les mesures prises pour corriger les failles identifiées ces derniers jours. C’est le CEO et fondateur de Zoom, Eric S. Yuan qui s’est expliqué dans une lettre ouverte adressée à ses utilisateurs qui a été publiée sur le blog de la société ce 1er avril.
Dans cette lettre, le patron reconnaît que la solution n’était pas préparée à une utilisation aussi massive, et que les défis qui ses sont présentés “n’avaient pas été anticipés lors de sa conception.” Le dirigeant explique avoir publier les corrections pour les deux problèmes liés au Mac, supprimer la fonction de suivi de l’attention des participants, publier un correctif pour le problème du lien UNC, la suppression du navigateur LinkedIn après avoir identifié une divulgation inutile de données par la fonction, enfin l’édition d’un guide pour limiter et éviter la pratique du “Zoom-Bombing”.
L’entreprise annonce également renforcer ses efforts et ses ressources sur les problèmes de sécurité et de confidentialité, réaliser une sorte d’audit avec des experts tiers et des utilisateurs, préparer “un rapport de transparence qui détaille les informations liées aux requêtes de données, de dossiers ou de contenus“. De façon plus précise, Zoom compte améliorer son programme de Bug Bounty (chasse aux failles), lancer “un conseil des RSSI” en partenariat avec les principaux RSSI de l’industrie “pour faciliter un dialogue permanent sur les meilleures pratiques en matière de sécurité et de confidentialité“, et engager “une série de pentests simultanés en white box pour mieux identifier et traiter les problèmes“.
Enfin, le 8 avril, Eric S. Yuan tiendra, chaque mercredi à 10h00 PT un webinaire hebdomadaire intitulé “Ask Eric anything” pour communiquer les dernières mises à jour effectuées sur les sujets de sécurité et la protection de la vie privée. Ce webinaire en format ouvert donnera aux participants la possibilité de poser leurs questions. Trois autres webinaires suivront durant le mois d’avril, les 15, 22 et 29.