La pandémie de coronavirus a déplacé les effectifs mondiaux vers des configurations à distance et des applications de vidéoconférence telles que Zoom et Microsoft Teams, mais toutes ces solutions n'obtiennent pas des notes de passage en matière de sécurité, selon un rapport de la Fondation Mozilla.
Sur les 15 applications testées par Mozilla, 12 répondaient à ses cinq normes de sécurité minimales: Zoom, Google Hangouts, Apple FaceTime, Skype, Facebook Messenger, WhatsApp, Jitsi Meet, Signal, Microsoft Teams, BlueJeans, GoTo Meeting et Cisco WebEx.
Ces normes incluent l'utilisation du cryptage, la fourniture de mises à jour de sécurité, l'exigence de mots de passe forts, la gestion des vulnérabilités et la mise en place d'une politique de confidentialité.
À l'heure actuelle, un nombre record de personnes utilisent des applications d'appel vidéo pour faire des affaires, donner des cours, rencontrer des médecins et rester en contact avec des amis.
Il est plus important que jamais que cette technologie soit digne de confiance - mais de nombreuses applications ne respectent pas toujours la confidentialité et la sécurité des utilisateurs , a déclaré Ashley Boyd, vice-président du plaidoyer chez Mozilla, dans un communiqué.
Maison
Houseparty, la populaire application de chat vidéo d'Epic Games, la société derrière Fortnite, a obtenu un 4 sur 5 sur les normes de sécurité minimales de Mozilla; il a été sonné sur l'absence d'une exigence de mot de passe fort.
Il "semble également être un vide de données personnelles" et ne permet pas de limiter une grande partie de cette collecte de données.
"Le blocage des cookies peut empêcher l'extension Chrome de fonctionner correctement, [though] vous pouvez arrêter le partage de position et d'autres autorisations au niveau de l'application tout en continuant à utiliser l'application , déclare Mozilla.
Dans un communiqué, Houseparty déclare qu'il "maintient des mesures de cryptage et de sécurité fiables pour protéger les données des clients.
Nous examinons et améliorons continuellement les pratiques de sécurité chez Houseparty et rappelons à tous nos utilisateurs qu'il est recommandé d'utiliser des mots de passe forts."
Discorde
Discord avait un bulletin similaire, gagnant 4 sur 5, mais obtenant une note inférieure sur la force du mot de passe et la collecte de données.
Mais le plus gros problème avec Discord est son histoire de communautés toxiques, de harcèlement et de prédateurs, écrit Mozilla.
Être aspiré dans la haine de la droite alternative, tomber accidentellement sur un réseau porno ou être harcelé par des joueurs misogynes sont autant de véritables préoccupations pour les gens sur Discord qui ne font pas attention.
Discord dit qu'il "travaille actuellement avec Mozilla pour s'assurer qu'ils ont toutes les informations concernant nos fonctionnalités de confidentialité et de sécurité." La société a déjà mis à jour ses paramètres pour bloquer les mots de passe faibles ainsi que les mots de passe impliqués dans une autre violation de données.
En ce qui concerne la collecte de données, Discord déclare collecter "certaines données pour des outils tels que Google Analytics et d'autres tiers couramment utilisés, mais nous ne monétisons aucune donnée.
Nous ne gagnons pas d'argent via la publicité et ne partageons pas ces données avec des tiers qui se tournent vers profiter des informations de nos utilisateurs.
Notre modèle économique est entièrement basé sur les abonnements.
"
En ce qui concerne les utilisateurs toxiques, Discord affirme avoir une "tolérance zéro pour les activités illégales sur notre plate-forme et prendre des mesures immédiates lorsque nous en prenons connaissance, notamment en interdisant les utilisateurs, en fermant les serveurs et en signalant aux forces de l'ordre.
Nous surveillons de manière proactive.
pour les serveurs et les utilisateurs qui enfreignent les règles de notre communauté ou participent à des activités illégales.
" L'idée que vous pouvez tomber sur des serveurs liés à une activité illégale, quant à elle, "est manifestement fausse", dit-il.
Doxy.me
Doxy.me, une plate-forme de télémédecine populaire, a été critiquée pour ne pas exiger de mots de passe forts ou fournir une authentification à deux facteurs.
"De plus, il n'est pas nécessaire de prouver que vous êtes le patient qui est censé participer à l'appel, ce qui signifie que les médecins ou thérapeutes qui n'ont pas de relation établie auparavant avec un patient peuvent ne pas savoir si la personne qui rejoint leur rendez-vous virtuel vraiment qui ils prétendent être , note Mozilla.
Recommandé par nos rédacteurs
Dans un communiqué, Pat Thompson, analyste en sécurité chez Doxy.me, déclare: Les prestataires ont un contrôle total sur les personnes qu'ils rencontrent, mais les mêmes flux de travail d'authentification s'appliquent pour les rendez-vous médicaux en ligne que pour les visites en personne.
De nombreux prestataires authentifient déjà qu'ils parlent avec le bon patient en vérifiant une carte d'identité ou en demandant au patient de vérifier son nom complet et sa date de naissance.
Nous ne stockons pas les informations sur les patients pour accroître la sécurité et les prestataires sont bien conscients que l'authentification du patient en ligne avec leur entreprise et les politiques de conformité est de leur responsabilité.
La société reconnaît qu'elle n'a pas d'exigence de mot de passe minimum pour les fournisseurs, mais dit qu'elle les informe de la force de leurs mots de passe.
Ceux qui souhaitent une authentification multifactorielle peuvent utiliser la capacité de connexion sociale fournie par Google et Facebook et les fournisseurs de notre abonnement Clinic ont la possibilité d'intégrer leur propre IdP avec SAML et de s'appuyer sur les politiques d'accès et d'authentification existantes de l'entreprise, explique Thompson.
Grâce à des tests de pénétration réguliers, à des chercheurs indépendants en sécurité et à des audits internes, doxy.me a déjà révisé ses contrôles d'accès et d'authentification, qui incluent la définition d'exigences de longueur minimale et de complexité des mots de passe.
Un certain nombre de changements sont actuellement en cours de développement.
Et le zoom?
D'autres applications, qui ont souffert d'une sécurité laxiste, incluent Zoom, mais Mozilla a donné à son application d'appel vidéo des notes élevées.
Zoom a été vivement critiqué pour ses failles de confidentialité et de sécurité.
Comme il existe de nombreuses autres options d'application d'appel vidéo, Zoom a agi rapidement pour résoudre leurs nombreux problèmes de confidentialité et de sécurité.
Ce n'est pas quelque chose que nous voyons nécessairement avec des entreprises comme Facebook qui n'ont pas de véritable concurrent , dit Mozilla.
Cependant, même si de nombreuses autres entreprises respectent les normes minimales de Mozilla, cela ne signifie pas qu'elles sont totalement conviviales.
Les normes de Mozilla, par exemple, exigent seulement qu'une entreprise ait une politique de confidentialité mais, bien sûr, peu de gens les lisent.
