Recevez chaque jour toute l'actualité du numérique

x

Fuite de données, chiffrement… Peut-on faire confiance à l'application de visioconférence Zoom ?

Vu ailleurs Alors que son utilisation explose pendant le confinement provoqué par Covid-19, Zoom multiplie les incidents. Cette application de visioconférence très populaire est notamment accusée d'être à l'origine de fuites de données personnelles et de mentir sur ses paramètres de sécurité.
Twitter Facebook Linkedin Flipboard Email
×

Fuite de données, chiffrement… Peut-on faire confiance à l'application de visioconférence Zoom ?
Fuite de données, chiffrement… Peut-on faire confiance à l'application de visioconférence Zoom ? © Zoom

Le confinement provoqué par la pandémie de Covid-19 a engendré une explosion de l'utilisation de l'application de visioconférence Zoom. Le 15 mars 2020 plus de 600 000 personnes dans le monde ont téléchargé l'application, d'après un décompte d'Apptopia, spécialiste de l'analyse des données du web. Zoom était déjà par ailleurs de plus en plus populaire auprès des entreprises depuis quelques années, étant considérée comme plus simple d'utilisation et plus fiable que les solutions historiques type WebEx (Cisco) ou Skype for Business (Microsoft). Ce succès fait cependant émerger de nombreux problèmes de sécurité et d'éthique pour la start-up.

Fuite de données

Motherboard révèle dans un article publié le 31 mars 2020 que Zoom divulgue l'adresse mail et les photos de milliers d'utilisateurs. La raison : la gestion des contacts du service. En effet, le média américain rapporte que la fonction "Company Directory" ajoute automatiquement des personnes aux listes de contacts lorsque ces dernières se sont inscrites avec une adresse e-mail partageant le même domaine de messagerie.

En principe, cette fonctionnalité sert à faciliter la mise en relation entre collègues lorsque le domaine appartient à une entreprise. Mais plusieurs utilisateurs disent s'être inscrits avec des adresses e-mails personnelles, et Zoom les a regroupés avec des milliers d'autres personnes comme s'ils travaillaient pour la même entreprise... exposant ainsi leurs informations de contact détaillées. Interrogé par Motherboard, un utilisateur de Zoom, Barend Gehrels, raconte qu'après s'être inscrit (sous pseudonyme), il a vu "995 personnes" s'ajouter automatiquement à son carnet de contacts.

Sur son site, Zoom indique que "par défaut, votre répertoire de contacts contient des utilisateurs internes de la même entreprise qui partagent le même compte ou dont l'adresse e-mail utilise le même nom de domaine que le vôtre (sauf pour les domaines utilisés publiquement comme gmail.com, yahoo.com, hotmail.com…)". Sollicité par Motherboard, un porte-parole de la licorne américaine a expliqué que Zoom possédait une "liste noire" de domaines et identifiait régulièrement des domaines à y ajouter. Il a également mentionné une rubrique sur le site internet grâce à laquelle les utilisateurs peuvent demander que d'autres domaines soient supprimés de la fonction "Company Directory".

Transfert d'informations à Facebook

Ce n'est pas la première fois que Zoom est embourbé dans une affaire de fuite de données. Le 23 mars 2020, Motherboard a révélé que l'application iOS de Zoom envoyait des données d'analyse à la plate-forme Graph de Facebook via une API. Les informations transférées comprenaient la version du système d'exploitation, l'adresse IP, l'identifiant IOS, le fuseau horaire et la langue utilisé, la taille de l'écran et le disque dur. Or Zoom avait omis de mentionner ce transfert d'informations dans sa politique de confidentialité.

Le 27 mars 2020, Zoom a publié une version mise à jour de son application IOS après en avoir retiré le kit de développement logiciel (SDK) de Facebook. Dans un billet de blog, le fondateur de Zoom Eric S.Yuan a reconnu que le SDK "recueillait des informations sur les appareils" puis s'est excusé de "l'inquiétude que cela a suscité" et a déclaré qu'il reste "fermement attaché à la protection de la vie privée de nos utilisateurs".

Zoom a également été accusé d'espionnage. Début juillet 2019, un chercheur en sécurité Jonathan Leitschuh a annoncé avoir découvert plusieurs failles dans l’app macOS du service, dont la plus importante permettait à un site web d’activer la webcam d’un Mac sans aucune interaction de la part de l’utilisateur. Zoom se justifiait en expliquant que cela permettait d’initier une réunion en visioconférence d’un seul clic. Mais par sécurité, le système d’exploitation demandait une confirmation avant d’activer la webcam. Pour cela, Zoom macOS installait un serveur web local qui se charge de faire le lien entre votre navigateur et l’app. Suite à cette révélation, l'entreprise américaine a permis aux administrateurs de modifier le paramètre par défaut. De son côté, Apple est intervenu en publiant une mise à jour de macOS, qui retire le serveur web de Zoom.

Mais les couacs ne s'arrêtent pas là. Le 31 mars 2020, The Intercept publie une enquête dans laquelle il annonce que les flux audio et vidéo de Zoom ne sont pas chiffrés de bout en bout, contrairement à ce qu'annonce la start-up. "En fait, Zoom utilise sa propre définition du terme", note le média. Une définition très clairement incorrecte. Pourtant, dans son livre blanc et dans la section "sécurité" de son site, Zoom affirme à plusieurs reprises qu'il propose bien cette fonctionnalité.

 


Quand cette option est activée, un cadenas est affiché dans un coin de l’interface utilisateur pendant une visioconférence, et au survol de la souris, un message confirme que tout est chiffré de bout en bout. 

 


Absence de chiffrement de bout en bout

Mais lorsqu'il a été contacté pour savoir si les réunions vidéo sont réellement cryptées de bout en bout, un porte-parole de Zoom a écrit : "Actuellement, il n'est pas possible d'activer le cryptage E2E pour les réunions vidéo Zoom. Les réunions vidéo Zoom utilisent une combinaison de protocoles TCP et UDP. Les connexions TCP sont établies à l'aide de TLS et les connexions UDP sont chiffrées avec AES à l'aide d'une clé via une connexion TLS".

Concrètement, les données sont donc lisibles sur les serveurs de Zoom, c'est-à-dire que n'importe quel salarié de la start-up peut accéder aux contenus audio et vidéo d'un utilisateur sans son consentement. Il ne s'agit donc pas de chiffrement de bout en bout. Pour que ce soit le cas, il faudrait que seuls les participants à la réunion aient la possibilité de la déchiffrer. Zoom pourrait alors avoir accès au contenu mais ne disposerait pas de la clé nécessaire pour le lire et, par conséquent, n'aurait pas la capacité technique d'écouter les réunions privées. C'est par exemple le cas de la messagerie Signal ou de WhatsApp.

En d'autres termes, l'entreprise américaine ne chiffre pas les données mais uniquement la connexion entre ses serveurs. Techniquement, le choix de Zoom est justifiable car il simplifie l'usage du service. Le problème est que la communication de l'entreprise est trompeuse.

Dans le collimateur de la justice américaine

Zoom est désormais dans le collimateur de la justice américaine. La procureure générale de l'Etat de New York, Letitia James, veut s'assurer que "la société prend les mesures appropriées pour garantir la vie privée et la sécurité des utilisateurs", relève Le Figaro. Un porte-parole de la procureure a indiqué qu'une lettre a été envoyée avec une série de questions et espérait désormais que Zoom collabore pleinement pour régler les problèmes constatés.

Le "Zoom bombing", nouveau passe-temps des trolls

Au-delà des fuites de données, la justice s'inquiète de la multiplication des signalements qui mentionnent des téléconférences perturbées par des images pornographiques ou par des contenus haineux. Sur les réseaux sociaux, via le hashtag #zoombombed, des utilisateurs ont témoigné avoir tout d'un coup vu des images pornographiques ou racistes envahir leur écran. Un lycée du Massachusetts a par exemple signalé qu'un enseignant avait dû interrompre son cours lorsqu'un individu a fait irruption dans la classe virtuelle pour "proférer des insultes, avant de crier l'adresse personnelle du professeur".

Zoom a publié des conseils pour éviter se protéger contre ce type de pratiques. Il suggère d'autoriser uniquement les utilisateurs connectés à se joindre, de verrouiller la réunion, désactiver le transfert de fichier, d'empêcher les participants de partager l'écran, désactiver la vidéo… Ce phénomène est en fait un effet secondaire de la simplicité d'utilisation du service, qui permet à n'importe qui de rejoindre une réunion juste en cliquant sur un lien. Et ces liens sont composés d'une courte série de chiffres, ce qui permet de joindre assez facilement des réunions au hasard.

 


De plus en plus de personnes touchées

Ces incidents sont d'autant plus inquiétants qu'ils touchent aujourd'hui un nombre croissant d'utilisateurs. En février 2020, une étude du Centre Bernstein Research a indiqué que Zoom avait attiré plus de nouveaux utilisateurs durant les deux premiers mois de 2020 (2,22 millions) que sur toute l'année 2019 (1,99 million). Au total, les analystes affirment que Zoom comptait en février 2020 près de 13 millions d'utilisateurs actifs, en hausse de 21 % par rapport à l'année dernière.

Alors que fait réellement Zoom des données personnelles ? Face à ces incertitudes, une organisation de protection de la vie privée Access Now exige de l'entreprise américaine qu'elle publie les demandes gouvernementales qu'elle reçoit sur la divulgation de données clients. Cette pratique est largement répandue dans les grandes entreprises technologiques comme Google, Amazon ou Microsoft.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media