Sécurité : est-il prudent d’utiliser Zoom pour la visioconférence ?

Sécurité : est-il prudent d’utiliser Zoom pour la visioconférence ?



Très populaire depuis le confinement, le service de visioconférence est aussi sur la sellette pour ses failles de sécurité et ses problèmes de confidentialité. Des mesures ont été prises pour corriger le tir et rassurer les utilisateurs.

Les mesures de confinement prises par de nombreux gouvernements dans le monde ont entraîné une ruée vers les solutions de visioconférence, que ce soit pour le télétravail, le suivi des cours à domicile ou, plus simplement, les appels vidéo entre proches. Outre les déjà populaires Skype, WhatsApp, Facebook Messenger, FaceTime et autres Discord, Zoom a connu un succès fulgurant, au point de devenir l’application la plus populaire du moment. En l’espace de quelques semaines, cette solution essentiellement destinée aux professionnels et aux entreprises est en effet passée de 10 à 200 millions d’utilisateurs quotidiens ! Il faut dire qu’elle ne manque pas d’atouts, car en plus de sa simplicité d’emploi et de ses performances, elle offre la possibilité de réunir un grand nombre de participants y compris dans sa version gratuite (voir notre fiche pratique sur l’organisation d’appels en groupe).

Une solution passée à la loupe

Seulement voilà, cette popularité subite a également aiguisé la curiosité de divers experts qui ont eu la désagréable surprise de découvrir de nombreuses failles de sécurité et de sérieux problèmes de confidentialité dans le service. Pour tout arranger, le succès de Zoom a aussi attiré l’attention de hackers voulant profiter de brèches pour récupérer des données, mais aussi d’intrus (trolls) s’immisçant dans des discussions grâce à des invitations non protégées.

Des failles en pagaille

On a ainsi appris que la version iOS de l’application mobile de Zoom envoyait des données à Facebook sans le consentement des utilisateurs et que l’intégration du service avec le réseau social professionnel LinkedIn permettait de dévoiler le profil professionnel des participants, là encore, sans leur accord, de ces derniers et ce, même s’ils étaient connectés de manière anonyme ! Outre ces dérives indiscrètes, à motivation évidemment commerciale, Zoom est pointé du doigt pour son système de cryptage. Selon les spécialistes de The Intercept, et contrairement à ce que Zoom suggère sur son site Web, les conversations ne seraient pas chiffrées de bout en bout, comme le font des systèmes concurrents. Et selon les experts en sécurité de The Citizen Lab, le service n’utiliserait pas l’AES-256 comme indiqué sur son site, mais avec la génération précédente de cette technologie de cryptage, l’AES-128, beaucoup moins solide. Pire, certaines clés associées au chiffrement seraient délivrées par des serveurs situés en Chine, un pays qui souffre d’une réputation sulfureuse en matière de sécurité numérique.

Des négligences vite exploitées

D’autres lacunes grossières, certaines anciennes et à la portée de pirate,s ont également été décelées. Sur Mac, il était possible d’activer la webcam à l’insu de l’utilisateur via un serveur installé par Zoom sur l’ordinateur – un problème réglé directement par Apple en 2019. Sous Windows, la messagerie instantanée permettait d’injecter des liens externes pour récupérer l’empreinte du mot de passe de l’utilisateur. Dans un autre registre, le site Vice a révélé que des personnes utilisant le même nom de domaine pour leurs adresses mail – de type @free.fr ou @orange.fr – étaient automatiquement regroupées dans un même carnet d’adresses et qu’elles pouvaient ainsi accéder aux profils de parfaits inconnus et les contacter en vidéo !

Des intrus dans les réunions

Enfin, outre de nombreuses autres failles de sécurité mises en avant par de multiples spécialistes, le FBI a mis l’accent sur un phénomène à la mode prenant de plus en plus d’ampleur : le zoombombing. Le fameux service d’investigation américain a expliqué que des farceurs parvenaient à s’introduire dans des réunions virtuelles en récupérant des liens d’invitations diffusés innocemment par des participants, allant jusqu’à proférer des injures, ou à diffuser des vidéos phonographiques grâce au partage d’écran. Le genre d’intrusion qui fait mauvais genre lors d’une réunions stratégique en entreprise…

Sans tomber dans ces extrêmes, cette technique peut également être détournée pour faire de l’espionnage industriel. Comme le raconte KrebsOnSecurity, un expert a pu dénicher sur le Web les identifiants (ID) de plus de 2400 réunions en libre accès, certaines au sein de grandes entreprises, et accéder ainsi à de nombreuses informations.

Zoom banni par de nombreuses sociétés

Autant de problèmes qui ont conduit des entreprises prestigieuses et sérieuses comme la Nasa et SpaceX à interdire à leurs collaborateurs l’utilisation Zoom, compte tenu des informations sensibles qu’ils manipulent… Le département de l’éducation de New York a décidé d’interdire Zoom pour gérer les cours des écoliers en confinement et le gouvernement de Taïwan a fait de même pour ses différentes administrations. Il y a quelques jours, Google a complètement interdit l’utilisation de Zoom à ses employés, expliquant que l’application ne répondait pas à ses exigences de sécurité.

En France, la direction interministérielle du numérique déconseille fortement l’emploi de Zoom, du fait des risques sur la protection des données et des failles constatées, invitant à utiliser Tixeo, une solution de visioconférence certifiée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Dans une note intitulée Visioconférence : les bons usages pour bien communiquer, le ministère de l’Action et des Comptes publics incite également les organismes publics publique à éviter Zoom pour des raisons similaires – en écartant pour les mêmes motifs Skype et Hangouts…

Des mesures pour améliorer la sécurité

On s’en doute, ces critiques et ces problèmes n’ont pas fait une bonne publicité à Zoom, qui a vu son action en bourse fortement grimper puis osciller après certaines révélations. Heureusement, après avoir reconnu ses erreurs, l’entreprise a réagi assez rapidement en corrigeant certaines failles en urgence et en imposant par défaut l’usage d’un mot de passe pour protéger les conversations de groupe. La nouvelle version de l’application, publiée le 8 avril, intègre ainsi plusieurs dispositifs destinés à renforcer la sécurité et la confidentialité, comme elle l’explique dans un communiqué. Des efforts bienvenus – et indispensables –, qui rassureront le grand public, mais il faudra sans doute un peu de temps encore pour regagner complètement la confiance des professionnels et des institutionnels.



Lien de l’article original

Laisser un commentaire