Zoom : le succès ne va pas sans les critiques

L’épidémie mondiale s’accompagnera probablement de difficultés économiques pour de nombreuses entreprises. Mais sûrement pas pour Zoom : l’application américaine de visioconférence a connu un pic de popularité depuis le début de l’année, éclipsant de loin ses concurrents, dans un marché pourtant très convoité par des acteurs majeurs tels que Microsoft ou Google.

Sous le feu des projecteurs

Mais cette soudaine popularité met également en lumière les erreurs de l’application en matière de protection de la vie privée, une série de problèmes que Zoom s’efforce aujourd’hui de colmater à toute vitesse. Le client iOS de Zoom a ainsi reçu une mise à jour de circonstance, lorsque le site Motherboard a révélé que celui-ci utilisait le SDK de Facebook et donc partageait automatiquement les données des utilisateurs avec Facebook. Parmi les données partagées, on retrouvait essentiellement des informations liées à l’appareil de l’utilisateur, à sa zone géographique, son fournisseur d’accès et d’autres données dites « de télémétrie » que les éditeurs logiciels ne se privent pas d’exploiter. Une faute de goût qui a conduit les développeurs du projet à présenter leurs plus plates excuses dans un post de blog et à retirer aussitôt le SDK Facebook de leurs client iOS.

Zoom a également fait évoluer il y a quelques jours sa politique de confidentialité afin de clarifier ses pratiques en matière de protection des données. Dans la nouvelle version, Zoom met l’accent sur le fait qu’il ne revend pas les données, qu’il ne surveille pas les conférences des utilisateurs et qu’il applique la loi en vigueur aux Etats-Unis sur la protection des données. Sa politique de confidentialité est en revanche assez peu claire à l’égard du RGPD européen et a recours par exemple à sa propre définition de « données personnelles », bien plus restreinte que celle prévue par le texte européen.

Hosts also have the power to monitor your computer’s activities. Zoom’s privacy policy doesn’t discuss this feature.
Now, I’m wondering who is in charge to obtain consent for such monitoring? In practice, are hosts gathering consent for using that feature? https://t.co/Jg4gtZcv6C

— Suzanne Vergnolle (@SuVergnolle) March 29, 2020

Zoom n’hésite pas non plus à utiliser sa propre définition du concept de chiffrement bout à bout. The Intercept a publié mardi un article revenant sur les outils de chiffrement utilisés par l’application pour protéger les conversations : il ne s’agit pas de chiffrement bout en bout au sens classique du terme, qui rendrait le contenu accessible aux seuls participants de l’appel. Comme l’explique un porte-parole interrogé par The Intercept, « les réunions vidéo Zoom utilisent une combinaison de TCP et UDP. Les connexions TCP sont établies à l’aide de TLS et les connexions UDP sont chiffrées avec AES à l’aide d’une clé négociée sur une connexion TLS ». Cela signifie que les données audio et vidéo sont effectivement chiffrées, mais que Zoom peut théoriquement déchiffrer les données passant sur ses serveurs. Si un gouvernement venait à demander à Zoom de lui livrer des données, la société ne pourrait donc pas se prévaloir de son architecture pour se soustraire à sa demande. Et en l’absence de rapport de transparence, difficile de savoir quelle serait la politique de l’entreprise en la matière.

Ce n’est pas de la surveillance, c’est une fonctionnalité

Mais au-delà des questionnements juridiques, Zoom offre par défaut beaucoup de données accessibles aux administrateurs des salles de visioconférence : comme le rappelait l’EFF il y a deux semaines, l’application dispose de fonctionnalités permettant à un administrateur d’être averti si un membre de l’auditoire passe la fenêtre au second plan lors d’un partage d’écran. Et Zoom propose également des outils permettant à l’administrateur d’obtenir des données précises sur les appareils et programmes utilisés par les participants, mais aussi de récupérer l’entièreté des vidéos, audios, historiques de chat et retranscription des conversations et conférences ayant eu lieu sur l’instance dont ils sont administrateurs si ceux-ci sont enregistrés dans le Cloud ou sur l’appareil de l’administrateur. Autant dire que l’instance Zoom mise en place par votre employeur n’est peut être pas le meilleur endroit pour discuter des derniers ragots avec vos collègues, et ce même en l’absence manifeste de votre patron.

Zoom fait également face à un autre problème : le “Zoom bombing”, terme utilisé pour désigner le fait de s’inviter de manière arbitraire dans une conférence Zoom. Si la salle de visioconférence n’a pas été configurée avec un mot de passe, n’importe quelle personne disposant de l’URL peut en effet participer à la conférence. Un défaut de configuration qui peut permettre à un tiers de perturber une visioconférence, ou simplement d’écouter ce qui se dit sans que les autres utilisateurs ne remarquent sa présence. Constatant une recrudescence de ce type de comportement, le FBI a ainsi publié un guide visant à aider les administrateurs à sécuriser leurs visioconférences Zoom en configurant correctement le programme.

Le poids des failles passées

Si Zoom se retrouve scruté de près, c’est aussi parce que l’application a déjà colmaté plusieurs failles de sécurité notables au cours des mois passés. Ainsi, le client Zoom pour MacOS a connu son lot de correctif au cours de l’année 2019 : une faille de sécurité permettait notamment à un attaquant de profiter de Zoom pour exécuter du code sur la machine de la cible en utilisant une URL malveillante.

Le client MacOS de Zoom ne semble ainsi pas faire l’unanimité : la société s’était aussi faite épingler en 2019 pour avoir utilisé un script d’installation sur les machines de ses utilisateurs, qui empêchait de désinstaller Zoom complètement et maintenait, même après la désinstallation du client, un serveur web sur la machine. Celui-ci n’était pas indiqué à l’utilisateur, mais contenait néanmoins des failles de sécurité qui pouvaient être exploitées pour forcer par exemple l’activation de la webcam et du micro lors de la connexion sur une page web. Ce que Zoom considérait comme une « fonctionnalité » n’a pas vraiment été du goût d’Apple, qui a diffusé une mise à jour afin de supprimer ce serveur web clandestin. Encore aujourd’hui, le magazine MacGeneration rappelle que la version MacOS de l’outil n’est pas forcément dans les clous en matière de bonnes pratiques. C’est probablement pour cela qu’il est aujourd’hui impossible d’installer le client MacOS de Zoom depuis le store officiel d’Apple.

Les différentes failles ont été depuis corrigées et on peut difficilement blâmer la société : tous les programmes connaissent des failles et les corriger fait partie du jeu. Et Zoom a sur la concurrence des avantages non négligeables : l’outil est taillé pour des conférences impliquant de très nombreux participants, dispose de fonctionnalités qui font défaut à la concurrence (c’est effectivement très drôle de pouvoir modifier l’arrière-plan derrière soi), ne demande pas de création de compte pour l’utiliser et se révèle facile à installer. Mais cette apparente facilité d’utilisation a un prix : une attitude douteuse à l’égard des questions de sécurité et de protection des données. Comme quoi le mantra “move fast and break things” reste d’actualité.