Aller au contenu
Zoom avant

Résumé

  1. Les artefacts laissés sur les Mac, les PC et les appareils mobiles par l'application Zoom varient au fil du temps.
  2. Au printemps 2020, nous avons constaté que ces artefacts avaient été réduits côté client.
  3. Cependant, des recherches récentes suggèrent que les bases de données sur nos appareils contiennent beaucoup plus de points de données et donc d'informations utiles pour les enquêteurs et les plaideurs ; il semble que l'accès à ces données soit devenu très difficile dès maintenant (hiver 2021) dû au nouveau cryptage.

Les enquêteurs, les régulateurs, les plaideurs et toutes les personnes concernées savent que Zoom est si fortement utilisé qu'il a été et continuera d'être un point central dans les exercices de tri des données pendant un certain temps encore. À l'automne 2020, Zoom a annoncé qu'il serait déploiement d'un chiffrement de bout en bout approprié pour tous ses utilisateurs traditionnels d'ordinateurs et d'appareils mobiles. Pour rappel, le chiffrement de bout en bout (E2E) est la méthode par laquelle les données ne sont pas seulement chiffrées en transit à toutes les étapes, mais aussi au repos sur leurs terminaux (ordinateurs, appareils mobiles, etc.). C'est la principale raison pour laquelle des millions de personnes ont afflué vers Signal and Telegram en janvier.

Rechercher

Grâce à travail des chercheurs en criminalistique des données dans la communauté, les artefacts du côté client de la plate-forme Zoom ont été plus rigoureusement isolés parmi plusieurs environnements allant des téléphones mobiles aux PC et Mac (Crédit : University of New Haven Cyber Investigation and Research Group). Cette recherche reflète les artefacts et les données stockés par l'application/le programme Zoom côté client ; s'il y a un intérêt pour les données hébergées par Zoom sur le du côté serveur, J'ai commencé à enquêter et à examiner cela, pourtant; mes efforts ont eu peu de retour.

Le document de recherche a examiné les versions PC de Windows (ainsi que les Mac et les mobiles) aussi récentes que la version 5.1.2. et nous sommes déjà à 5.5.0, mon évaluation étant faite sur 5.49. Inutile de dire que Zoom effectue des mises à jour hebdomadaires ou même bihebdomadaires de son application côté client. Si vous êtes du côté Windows, je pense que cela se produit automatiquement, alors que les utilisateurs de Mac doivent choisir manuellement de le faire, à moins qu'il ne s'agisse d'un correctif majeur et qu'il soit forcé.

Bits techniques

Au cours de l'été, de nombreux fichiers de base de données côté ordinateur semblaient stocker très peu d'informations, ce qui semblait s'écarter des variantes de la version 3.x dans lesquelles les enquêteurs électroniques pouvaient obtenir de nombreuses informations sur les sessions de réunions. Ma pensée initiale était que Zoom stockait moins de cela sur les ordinateurs en tant que points de terminaison à cause d'un position de cryptage relativement faible au niveau du point final. À la fin du printemps ou au début de l'été 2020, alors que les verrouillages se normalisaient et que de plus en plus de personnes vivaient dans Zoom, la société a acheté Keybase pour la gestion des clés de chiffrement et pour renforcer généralement l'aspect sécurité de l'information de leur fonctionnement (si je devais deviner). Les recherches et les efforts récents de l'Université semblent indiquer un retour vers le stockage de données côté client et l'avènement du chiffrement au repos, que j'aborderai dans un instant. Dans l'article, diverses bases de données liées à des comptes d'utilisateurs Zoom individuels (par exemple, si ma femme et moi utilisions Zoom sur cet ordinateur, nos deux comptes auraient leur propre `` identifiant de profil '' et des bases de données qui y seraient stockées), il semblait y avoir des tas de des données dont je n'avais pas été témoin depuis des versions beaucoup plus anciennes de Zoom. J'avais décidé à tort que Zoom gardait tout données côté serveur indéfiniment, mais cette évolution vers un chiffrement localisé à clé privée/secrète correspond davantage aux tendances du marché (Apple et al.,). 

Je voulais voir certaines de ces données par moi-même (pourquoi ne le ferais-je pas ?!), alors j'ai analysé ces données sur l'un de mes Mac exécutant mon profil Zoom pour isoler les bases de données, tout en faisant claquer mes lèvres en prévision. À ma grande consternation, ces données étaient cryptées, mais en tant que défenseur de la confidentialité et de la sécurité des données, j'étais également ravi. Zoom a également pris la liberté de nommer les fichiers de base de données désormais cryptés de manière intuitive et transparente en apposant des "encks" à chacun.

Agréable.

Cela vous semble-t-il nul ? Cela devrait. C'est votre cryptage au travail.
Chiffrement SQL 4 ? C'est mon pari.

Je suis maintenant au milieu d'un grand voyage d'exploitation de données confus, dont je ne peux pas prédire les résultats. Si nous réussissons à accéder à ces artefacts de données maintenant qu'ils sont cryptés, nous tenons à partager ce succès. Si vous n'avez pas de nouvelles de moi dans les semaines et les mois à venir, vous pouvez à juste titre supposer que je suis en train de mariner dans la défaite. Surveillez cet endroit.


iDiscovery Solutions est une société de conseil stratégique, de technologie et de services d'experts - fournissant des solutions personnalisées d'eDiscovery allant de la criminalistique numérique au témoignage d'expert pour les cabinets d'avocats et les entreprises aux États-Unis et en Europe.

fr_FRFR