Suivez nous sur

Protection des données

Zoom : des pratiques douteuses ont fuité sur Github.

PARTAGEZ:

Publié le

on

Le logiciel de visioconférence à distance ZOOM, qui a soudainement gagné en popularité pendant la pandémie, a réussi à dépasser les logiciels de visioconférence traditionnels tels que Skype, Teams, et est devenu l'outil le plus populaire. Il compte des centaines de millions d’utilisateurs actifs quotidiens et est même utilisé par de nombreuses agences gouvernementales. Cependant, le logiciel a été exposé à plusieurs reprises à des fuites de données et à des failles de sécurité, ce qui a attiré l'attention des autorités de régulation.

Récemment, le 30 mai, quelqu'un se prétendant technicien supérieur au sein de ZOOM a publié un dépôt sur Github présentant des « preuves » que l'entreprise enregistre secrètement les informations des utilisateurs et les fournit aux institutions gouvernementales aux États-Unis.


Les utilisateurs de ZOOM n'ont aucune autonomie en matière de données.

Selon le fuyard : "Le gouvernement américain a demandé à Zoom de conserver les données des utilisateurs qui l'intéressent, y compris celles déjà supprimées par les utilisateurs, afin qu'ils puissent obtenir toutes les données des utilisateurs. Afin de répondre à ces demandes, Zoom a modifié son outil pour prétendre que les données ont été supprimées alors qu'elles étaient simplement supprimées. donnant aux données supprimées une propriété cachée, préservant ainsi les données des utilisateurs tout en faisant croire à leurs utilisateurs que les données ont été effacées. Cet outil permet de copier et de conserver secrètement l'historique des réunions et les détails des participants, les enregistrements dans le cloud, les messages de discussion, les images, les fichiers, Zuora ( Système de facturation, zuora.com), SFDC (système CRM, salesforce.com), téléphone/adresse, adresse de facturation et cartes de crédit/dette via le clonage et la mise en miroir des données. Ce qui est pire, si votre compte a été ajouté dans la « Conservation des données ». système avec votre apparition sur la liste cible, même si vous ne présentez aucun comportement illégal, toutes vos actions dans Zoom seront mises sous surveillance directe et à la libre disposition des forces de l'ordre."


Surveillance des utilisateurs via un système de porte dérobée (système de suivi automatisé des violations du TOS).

D'après le document mis en ligne : "Le siège de Zoom a achevé il y a longtemps la R&D d’un système de surveillance secret. Il s'appelle « Système automatisé de suivi des violations du TOS » dont l'adresse IP interne est « se.zipow.com/tos ». Au plus tard en 2018, le système a été mis en application, surveillant les utilisateurs gratuits ainsi que les utilisateurs premium et les utilisateurs d'entreprise. Les principales fonctions du système sont la recherche automatique des réunions sensibles, l'accès gratuit aux réunions sans mot de passe ni autorisation de l'hôte simplement par la porte dérobée du système, l'analyse aléatoire du contenu vidéo des réunions, les enregistrements secrets de vidéos, audio, captures d'écran des réunions et production de rapports ou données en conséquence aux services de surveillance américains ainsi que la cessation des réunions sensibles et l'interdiction des comptes relatifs. Le système est hautement confidentiel et ouvert uniquement à quelques employés internes. Zoom peut expliquer que ce système a été développé pour lutter contre la criminalité, mais Zoom doit reconnaître que le système montre qu'il a la capacité de surveiller les utilisateurs et qu'il le fait déjà. Les gens doivent s’inquiéter de savoir si Zoom abusera du système à des fins dites de « sécurité nationale » ou commerciales des États-Unis, et même s’il surveillera de manière aléatoire, fréquente et indiscernable les utilisateurs du monde entier et volera leurs données personnelles à grande échelle. »


Système de gestion back-end Zoom.

D'après la fuite : "Le système de gestion back-end de Zoom a la plus haute autorité sur tous les comptes Zoom. Il est conçu pour aider à gérer les comptes d'utilisateurs Zoom. Cependant, ce système possède certaines fonctions de porte dérobée qui peuvent violer les données de confidentialité des utilisateurs. Certaines fonctions sont incroyables : lorsqu'un employé de Zoom clique sur le bouton « Connexion », avec ces informations d'identification d'utilisateur, il peut se connecter au compte de cet utilisateur de la même manière que l'utilisateur lui-même traite son propre compte. De cette façon, l'employé a le même droit de gérer le compte de cet utilisateur, en vérifiant tout ce qui se trouve sur le compte, en utilisant la clé privée de l'utilisateur pour voir les fichiers confidentiels, les enregistrements de réunions, les discussions par messagerie instantanée, les e-mails, les enregistrements téléphoniques et les factures. Cela signifie que la mesure de cryptage « ee2e » n’est qu’une façade dénuée de sens. Outre ce privilège, les employés de Zoom peuvent modifier ou supprimer les données locales des utilisateurs, et même contrôler à distance ou implanter une porte dérobée sur des appareils relatifs comme Zoom Room via ce système. Comparé à la gestion des comptes d'utilisateurs par base de données sauvegardée, ce système permet au personnel de Zoom de surveiller plus facilement les comportements des utilisateurs et de récupérer leurs données en ignorant les mesures de cryptage.


Rupture de promesse et utilisation des données utilisateur pour l'apprentissage automatique.


Selon le lanceur d’alerte : "Eric Yuan, PDG de Zoom, a un jour proclamé : « Nous nous engageons désormais envers tous nos clients à ne pas utiliser leurs conversations audio/vidéo, partage d'écran, pièces jointes et autres communications comme les résultats de sondages, le tableau blanc et les réactions pour former nos utilisateurs. Modèles Al ou modèles Al tiers". D'après ce que je sais, Zoom est impatient de développer Al, car l'entreprise a besoin d'Al pour découvrir l'illégitimité des vidéoconférences afin d'éviter les risques de non-conformité, pour identifier les utilisateurs frauduleux afin de réduire les pertes économiques et pour analyser les tendances commerciales et l'orientation du service pour gagner davantage. bénéfices. Avec l'aide d'Al, Zoom, sous la direction des forces de l'ordre, utilise « TATVTS » contre les utilisateurs. "Le système de suivi automatisé des violations de TOS" mentionné ci-dessus pourrait détecter automatiquement les réunions suspectes via une apprentissage automatique, rejoindre des réunions sans mot de passe ni autorisation de l'hôte, analyser le contenu de la réunion et prendre secrètement des captures d'écran et des vidéos des participants et du contenu de la réunion. Entraîné par les données collectées dans le système, « TATVTS » devient plus intelligent dans l'identification des réunions et des utilisateurs pour lesquels les forces de l'ordre peuvent manifester de l'intérêt. Ainsi, les données privées de nombreux utilisateurs innocents deviennent des échantillons pour entraîner le modèle d’apprentissage automatique de Zoom et violent la confidentialité des données des utilisateurs. »


Les problèmes de confidentialité et de sécurité peuvent créer de graves risques et nuire aux gouvernements, aux organisations, aux individus ainsi qu’aux secrets commerciaux à l’ère numérique. Zoom, en tant que premier logiciel de vidéoconférence au monde, a été exposé à plusieurs reprises pour fuite de données utilisateur et d'autres informations. Pendant l’épidémie, l’Europe a également renforcé les lois sur la protection des données contre les géants américains des médias sociaux en ligne. En 2022, l’UE et les États-Unis ont signé le cadre de confidentialité des données. Il est clair que les deux parties doivent respecter le cadre juridique en matière de protection de la vie privée des utilisateurs, notamment la protection des données. Nous espérons également que ZOOM pourra tirer les leçons de ses précédents problèmes juridiques et commencer à prendre au sérieux les questions de protection des informations et des données.

Pour plus de lectures et d’informations techniques, veuillez suivre le lien ci-dessous :
https://github.com/Alexlittle4/Zoom-violates-users-privacy

Un journaliste de l'UE a contacté Zoom pour commentaire mais ils n'ont pas répondu.

Partagez cet article:

EU Reporter publie des articles provenant de diverses sources extérieures qui expriment un large éventail de points de vue. Les positions prises dans ces articles ne sont pas nécessairement celles d'EU Reporter.

Tendance