Après notre article sans complaisance sur les déboires sécuritaires de Zoom et ses pratiques, pour le moins accommodantes, au regard du respect de la vie privée, l’éthique journalistique commande que lui soit accordé un droit de réponse. Ça sera désormais chose faite, puisque nous avons reçu une communication de la part de la plateforme et son directeur des activités en France, Loïc Rousseau, et dont nous reproduisons certaines parties dans leur intégralité.

Concernant la vente sur le Darkweb d’identifiants d’accès Zoom, voici la déclaration de la plateforme reproduite ici dans son intégralité :

Il est courant que les services web grands publics soient ciblés par des acteurs malveillants qui testent un grand nombre de justificatifs d’identité déjà compromis provenant d’autres plateformes pour voir si les utilisateurs les ont réutilisés ailleurs. Ce type d’attaque n’affecte généralement pas les grandes entreprises clientes de Zoom qui utilisent leurs propres systèmes d’authentification unique. Zoom a déjà engagé plusieurs sociétés de renseignement pour trouver ces « décharges » de mots de passe et les outils utilisés pour les créer, ainsi qu’une société qui a fermé des milliers de sites web tentant de tromper les utilisateurs pour qu’ils téléchargent des logiciels malveillants ou abandonnent leurs identifiants. Zoom continue à enquêter et verrouille les comptes dont nous avons découvert qu’ils étaient compromis. Zoom demande à ses utilisateurs de changer leur mot de passe pour qu’ils soient plus sûrs, et envisage de mettre en œuvre des solutions technologiques supplémentaires pour soutenir ces efforts. (Fin de la reproduction intégrale.)

Au sujet de la sécurité et du respect de la vie privée, Zoom annonce de nouvelles initiatives, ayant trait au choix de la localisation des centres de données par lesquels transitent les données. La plateforme annonce une nouvelle fonction qui permet à ses clients payants de choisir la localisation des centres de données par lesquels devront circuler leurs données de réunion en temps réel.

Cette fonction ne concerne que les comptes payants et sa granularité permettra aux administrateurs de fixer le cheminement des données par compte, groupe ou utilisateur. Il ne sera toutefois pas possible de changer ou de se désengager de la région où le compte d’un client est provisionné. Cette région sera par défaut, verrouillée, peut-on lire dans le communiqué. À noter que les serveurs en Chine ont toujours été isolés dans le but de s’assurer que les données de réunion d’utilisateurs situés en dehors de la Chine restent en dehors de la Chine. « Le 3 avril, nous avons retiré tous nos serveurs de tunneling HTTPS en Chine afin d’éviter toute connexion par inadvertance à travers la Chine », explique Zoom. Voici enfin quelques précisions complémentaires :

  • les 17 centres de données de Zoom sont actuellement répartis dans les régions et pays suivants : États-Unis, Canada, Europe, Inde, Australie, Chine, Amérique latine et Japon/Hong Kong ;
  • les utilisateurs gratuits sont verrouillés sur les centres de données de leur région par défaut, là où leur compte est provisionné ;
  • les données des utilisateurs gratuits en dehors de la Chine ne sont jamais acheminées par la Chine ;
  • pour les utilisateurs basés en Chine, si l’administrateur du compte n’a pas opté pour un centre de données en Chine avant le 25 avril, le compte ne pourra pas se connecter à un centre de données en Chine continentale pour le transit des données.

À lire aussi Des lentilles de contact capables de zoomer en fonction des mouvements oculaires