La demande apparemment insatiable des particuliers et des entreprises pour des solutions de vidéoconférences contribue à révéler une série de problèmes de confidentialité et de sécurité auxquels la plateforme est confrontée.
Alors qu’énormément de personnes sont confinées chez elles dans le cadre des efforts visant à contenir la pandémie de la COVID-19, la popularité des logiciels de vidéoconférence pour le travail, l’éducation et les loisirs explose. De tous ces outils de communication du jour qui ont soudainement été mis sous les feux de la rampe, aucun ne se démarque autant que Zoom.
L’explosion de la demande, tant chez les particuliers que dans les entreprises, a contribué à révéler une série de problèmes de confidentialité et de sécurité auxquels est confrontée la plateforme, qui est désormais utilisée même pour les réunions quotidiennes du gouvernement britannique (bien que, fait intéressant, le ministère de la défense britannique interdit à ses employés d’utiliser l’application).
Le créateur de l’application résiste à une tempête de critiques provenant de divers milieux, dont des défenseurs de la vie privée, des experts en sécurité, plusieurs procureurs généraux d’États américains, un législateur américain et le FBI. Les mauvaises nouvelles n’ont cessé de s’accumuler ces derniers jours, ce qui a incité l’entreprise à réagir.
Mercredi dernier, le fondateur et PDG de l’entreprise, Eric S. Yuan, s’est excusé pour ces problèmes et a présenté des mesures visant à renforcer la sécurité et la protection de la vie privée chez Zoom. Il a également annoncé un gel des fonctionnalités pendant 90 jours, ajoutant que la société transférait toutes ses ressources d’ingénierie pour « se concentrer sur nos plus grands problèmes de confiance, de sécurité et de confidentialité. »
Voici un aperçu de cinq des principaux problèmes auxquels Zoom a dû faire face au cours de la dernière semaine :
· La politique de confidentialité de Zoom ne mentionne pas que la version iOS de son application envoie des données d’analyse à Facebook même lorsque les utilisateurs n’ont pas de compte Facebook, selon un article publié par Vice la semaine dernière. L’entreprise a reconnu le problème et a retiré le kit de développement logiciel (SDK) de Facebook pour iOS. Zoom fait toujours l’objet d’une action collective en Californie pour cette pratique.
· Malgré ses affirmations contraires, les réunions vidéo et audio de l’application ne supportent pas le cryptage de bout en bout, selon une analyse de The Intercept. Zoom s’est par la suite excusé et a précisé utiliser un système de chiffrement connu sous le nom de TLS. La différence essentielle est que ce dernier ne met pas les communications des utilisateurs hors de portée de l’entreprise.
· Il a également été constaté que l’application contenait plusieurs vulnérabilités de sécurité, bien qu’elles aient toutes été corrigées en peu de temps. Son client Windows s’est avéré sensible à une faille d’injection UNC qui pourrait exposer les identifiants de connexion Windows des utilisateurs et même conduire à l’exécution de commandes arbitraires sur leurs appareils. Deux autres bogues, affectant cette fois le client MacOS de Zoom, auraient pu permettre à un attaquant local de prendre le contrôle d’un ordinateur vulnérable.
· L’entreprise a également délaissé la fonction « suivi des participants ». Cette fonctionnalité permettait à l’organisateur d’une réunion de vérifier le niveau d’attention des participants lorsque l’organisateur était en mode de partage d’écran.
· Le FBI a publié une mise en garde contre un phénomène surnommé « Zoom-bombing», suite à de multiples rapports selon lesquels des trolls et des farceurs ont envahi des réunions privées et des classes d’école pour y afficher des images dérangeantes.
Ces problèmes auraient pu toucher un grand nombre de personnes, puisque la plateforme a vu son nombre d’utilisateurs quotidiens passer de 10 millions à 200 millions au cours des trois derniers mois. En effet, de l’aveu même de Yuan, Zoom a été submergé par son propre succès imprévu.
Ce dernier déclare : « Nous avons maintenant un plus grand nombre d’utilisateurs qui utilisent notre produit d’une multitude de façons inattendues, ce qui nous pose des défis que nous n’avions pas prévus lors de la conception de la plateforme ».
Comment rester en sécurité
En cette ère de travail à distance, nous ne devons pas négliger l’aspect de la vie privée et de la sécurité – et pas seulement en matière de vidéoconférence. Même si un logiciel est très simple et riche en fonctionnalités, il peut apporter de nouvelles menaces, qui s’accompagnent de responsabilités supplémentaires. Voici les mesures les plus efficaces que vous pouvez prendre pour protéger votre sécurité et votre vie privée lorsque vous utilisez Zoom :
Protéger vos réunions par un mot de passe et/ou contrôler les participants aux réunions à l’aide de la fonction « Salle d’attente » de Zoom.
Limiter le partage d’écran à l’hôte.
· Toujours utiliser la dernière version de Zoom.
S’abstenir de partager des liens ou des identifiants de réunion sur les médias sociaux.
Nous vous conseillons effectivement d’utiliser des identifiants de réunion plutôt que des liens lorsque vous invitez d’autres participants. On observe effectivement une recrudescence de domaines malveillants sur le thème de Zoom qui cherchent à tirer profit du succès inattendu de l’application.
« C’est en période de crise et de fort stress qu’apparaissent à la fois les éléments forts, mais aussi les éléments faibles.
L’utilisation massive de cette application a permis de mettre en lumière des failles, peut-on parler de bug bounty malgré eux ?
Quoi qu’il en soit, l’entreprise Zoom a réagi rapidement et ouvertement pour corriger ses logiciels.
Pour les entreprises, dont le PCA est déjà activé et pas forcément aisé à généraliser à toute l’entreprise, devoir remplacer une solution existante par une autre est un challenge.
Les employés sont en télétravail et le moment n’est pas propice au déploiement et à la formation des utilisateurs à une nouvelle solution.
C’est peut-être l’opportunité pour zoom de profiter de la période de confinement pour corriger ses failles et ne pas être remis en question à la fin de la crise. »
Benoit Grunemwald Expert en Cyber sécurité, ESET France