L'outil de vidéoconférence, un temps montré du doigt pour sa sécurité un brin défaillante, fait depuis amende honorable en multipliant les fonctionnalités de sécurité. Il annonce ainsi le support de l'authentification double facteur pour l'ensemble de ses utilisateurs toutes plateformes confondues.
On se rappellera que Zoom, au début du confinement, suscitait la controverse sur les questions de sécurité et de protection des données. L’entreprise a eu fort à faire pour corriger le tir. Non sans un certain succès, en témoignent ses résultats trimestriels. Poussant plus loin cette démarche, Zoom annonce qu’il supporte désormais la double authentification, 2FA pour les intimes.
Dans les faits, Zoom offrait déjà la double authentification, mais uniquement dans la version web de son service. Elle est désormais disponible pour les clients mobiles et desktop, et pour l'ensemble des utilisateurs, y compris les titulaires de comptes gratuits. En outre, l'outil ne proposait jusqu'à présent que le 2FA par le biais d'applications dédiée, telle que Google Authentification.
Sécurité renforcée
Désormais Zoom offre deux possibilités pour s'authentifier. "Avec la double authentification, les utilisateurs ont l'option d'utiliser des applications d'authentification qui supportent le protocole Time-Based One-Time Password (TOTP) (à l'instar de Google Authenticator, Microsoft Authenticator et FreeOTP), ou que Zoom envoie un code par SMS ou appel téléphonique en tant que second facteur du processus d'authentification" écrit Zoom dans un post de blog. Un choix qui s'explique sans doute par la volonté de simplifier l'authentification, notamment pour les clients légers, mais qui appelle à la prudence. La faiblesse de plus en plus flagrante du 2FA par SMS est fréquemment pointée du doigt comme aisément contournable par un attaquant.
Notons que Zoom en profite également pour proposer des codes de récupération, utile pour récupérer l'accès à son compte en cas de perte ou vol du terminal.
La double authentification est accessible depuis le Dashboard de Zoom, sous Avancé puis Sécurité. Des options dédiées aux administrateurs permettent également d'administrer plus finement l'option, par exemple en fonction de comptes ou de groupes spécifiques, ainsi que forcer la réinitialisation de l'authentification double facteur pour un utilisateur. Moins chère qu'un SSO, la solution conviendra notamment, selon Zoom, aux entreprises et autres organisations qui n'ont ni les moyens ni le temps de mettre en place un système de gestion des identifiants et des mots de passe.