La Federal Trade Commission épingle Zoom pour ses pratiques "trompeuses" en matière de sécurité
Zoom évite de justesse des poursuites. La Federal Trade Commission vient de conclure un accord avec l'entreprise éditrice d'un logiciel de visioconférence qui l'oblige à revoir ses pratiques en matière de sécurité. L'agence en charge du droit de la consommation affirme que Zoom a trompé ses utilisateurs, en particulier sur le chiffrement de bout en bout.
La Federal Trade Commission (FTC), en charge de l'application du droit de la consommation et du contrôle des pratiques anticoncurrentielles aux Etats-Unis, juge que l'entreprise Zoom a trompé les utilisateurs sur le niveau de sécurité qu'offrait son logiciel de visioconférence.
"Les pratiques de sécurité de Zoom n'étaient pas conformes à ses promesses", a déclaré Andrew Smith, directeur du Bureau de la protection des consommateurs de la FTC.
La conclusion d'un accord sans poursuite
La FTC annonce avoir conclu un accord avec la start-up californienne sans engager de poursuite à son encontre. Ainsi, Zoom a accepté de mettre en œuvre "un programme de sécurité complet" et de ne plus faire de fausse déclaration sur la sécurité et la protection de la vie privée. L'entreprise doit également faire évaluer sa sécurité par un tiers indépendant tous les deux ans et informer la FTC en cas de violation des données.
Dans sa plainte, la FTC a allégué que depuis 2016 au moins, Zoom trompait ses utilisateurs en prétendant qu'elle offrait "un cryptage AES 256 bits" pour sécuriser les communications alors qu'elle fournissait un niveau de sécurité inférieur (AES-128).
Le chiffrement de bout en bout est une méthode de sécurisation des communications de sorte que seuls l'expéditeur et le(s) destinataire(s) – et aucune autre personne, pas même le fournisseur de la plateforme – ne peuvent lire le contenu. Mais en réalité, selon l'agence américaine, Zoom a conservé les clés cryptographiques qui pouvaient lui permettre d'accéder au contenu des réunions de ses clients.
Zoom fortement plébiscité pendant le Covid-19
Ces affirmations trompeuses donnaient aux utilisateurs un faux sentiment de sécurité, en particulier pour ceux qui utilisaient la plateforme de l'entreprise pour discuter de sujets sensibles tels que la santé et les informations financières, conclut la FTC. Une situation particulièrement problématique car le recours à la solution de visioconférence a explosé pendant la pandémie de Covid-19. Les participants quotidiens sont passés de 10 millions en décembre 2019 à 300 millions en avril 2020.
Zoom a finalement introduit la première des quatre phases de son cryptage de bout en bout en octobre dernier pour les utilisateurs gratuits et payants lors de réunions réunissant jusqu'à 200 participants. La prochaine phase, dont le lancement est prévu l'année prochaine, permettra une meilleure gestion de l'identité et une meilleure prise en charge de l'authentification unique, a déclaré la société californienne.
Un porte-parole de Zoom a déclaré dans un courriel adressé à The Verge que la sécurité de ses utilisateurs est une priorité absolue. "La résolution d'aujourd'hui avec la FTC est en accord avec notre engagement à innover et à améliorer notre produit, car nous offrons une expérience de communication vidéo sécurisée", peut-on lire dans la déclaration.
Un stockage frauduleux des conversations
En plus du problème de cryptage de bout en bout, la FTC a également indiqué dans sa plainte que Zoom avait stocké des enregistrements de réunions non cryptés sur ses serveurs pendant 60 jours et avait compromis la sécurité de certains utilisateurs avec l'installation du logiciel appelé ZoomOpener. Ce logiciel a permis à Zoom de se lancer automatiquement sur MacOS et de contourner les protections du navigateur Safari d'Apple destinées à bloquer les logiciels malveillants, selon la FTC. Zoom a publié un correctif en juillet dernier.
Pour approuver cet accord, la FTC a dû procéder à un vote où la majorité l'emporte. En l'espèce, la Commission a voté à 3 contre 2. Le démocrate Rohit Chopra a publié une déclaration dissidente dans laquelle il affirme que les manipulations de l'entreprise californienne justifiaient largement une poursuite en bonne et due forme. Il ajoute que le règlement ne contient aucune reconnaissance de responsabilité et que l'enquête ne tire aucune conclusion significative.
En cas de violation de l'accord, Zoom s'exposé à 43 280 dollars
Pour l'instant, Zoom n'a pas d'amende à payer malgré les nombreuses fautes soulevées par la FTC. Par contre, si l'entreprise viole les obligations contenues dans l'accord signé avec les commissaires, elle s'expose à une sanction pouvant aller jusqu'à 43 280 dollars (environ 36 600 euros).
SUR LE MÊME SUJET
La Federal Trade Commission épingle Zoom pour ses pratiques "trompeuses" en matière de sécurité
Tous les champs sont obligatoires
0Commentaire
Réagir
