C’est l’application de vidéoconférence du moment. Mais c’est aussi la plus décriée. Zoom, du nom de cette entreprise américaine récemment entrée en bourse, a vu les scandales se multiplier ces derniers jours. Quasi inconnue du grand public il y a peu, avec 10 millions d’utilisateurs en décembre 2019, Zoom a passé le cap des 300 millions de clients en raison de la pandémie. Facile à utiliser, en grande partie gratuite, ne nécessitant aucune inscription, Zoom s’est vite fait une place aux côtés de Skype, de Google Meets ou encore de Microsoft Teams.
Rapidement, les problèmes sont survenus. Au point que l’Inde proscrit l’utilisation gouvernementale de Zoom, alors qu’en France la direction interministérielle du numérique «déconseille fortement» son usage aux fonctionnaires. Idem pour la ville de New York, Taïwan, la Croix-Rouge ou encore le constructeur automobile Tesla. Mais ces derniers jours, Zoom a pris plusieurs mesures techniques pour améliorer la situation. Examinons-les avec l’œil de l’expert Steven Meyer, directeur de la société de cybersécurité ZENData, à Genève.
Souci de transparence
Premier problème constaté, l’envoi de données à Facebook. «C’est davantage un problème de transparence qu’autre chose, estime le spécialiste. Beaucoup de sociétés envoient des données anonymisées sur les utilisateurs à Facebook. Zoom le faisait – elle a arrêté depuis –, mais sans en avertir ses clients, ce qui était une erreur. Depuis, c’est réparé.»
Jusqu’à récemment, n’importe qui pouvait très facilement se connecter à une réunion, sans y être invité. Désormais, l’identifiant des conversations est masqué, pour empêcher ce type de souci, qui peut causer d’énormes problèmes. «Cette fonction était déjà disponible auparavant, mais pas par défaut, poursuit Steven Meyer. Il existe aussi désormais une salle d’attente, pour éviter que n’importe qui puisse se connecter trop facilement. Bien sûr, le service est du coup un peu moins pratique à utiliser, ce qui était sa grande force. Mais c’est le prix à payer pour qu’il soit un peu plus sûr.»
La création d’un mot de passe par session est désormais aussi proposée par défaut. Le «zoombombing» – soit l’intrusion d’un inconnu dans une vidéoconférence – est ainsi plus difficile. Mais pas impossible. La semaine passée, des commémorations du jour de la Shoah sur Zoom ont été piratées par des éléments antisémites qui ont interrompu les discours de survivants du nazisme par des images d’Hitler ou de pédophilie, relatait ainsi l’AFP.
Et le chiffrement?
Se pose la question de la Chine, où Zoom possède des serveurs informatiques et des employés. Pour Steven Meyer, rien de choquant à cela: «C’est plutôt habituel pour des entreprises américaines. Même Apple possède des serveurs en Chine. Je ne pense pas qu’il faille s’inquiéter de tentatives de piratage. Par contre, Zoom y envoyait des informations même pour des conférences qui n’impliquaient pas des résidents chinois, ce qui était un bug très grave et apparemment réglé.»
Lire aussi: Les meilleures alternatives à Zoom, Google Drive ou WhatsApp
Le chiffrement des communications reste un point important qui n’est pas entièrement résolu. La nouvelle version de Zoom va utiliser de meilleurs algorithmes, mais n’offrira pas pour autant du chiffrement de bout en bout (d’un ordinateur à l’autre), ce qui pourrait poser des problèmes de confidentialité et de territorialité pour certains utilisateurs, estime Steven Meyer.
Il y a quelques jours, Zoom nommait Alex Stamos, l’ancien chef de la sécurité de Facebook, responsable de la sécurité des systèmes d’information. Est-ce une bonne nouvelle? «Absolument. Alex Stamos est brillant, il a beaucoup d’expérience en cybersécurité, il est très respecté par la communauté de la sécurité. Facebook n’est peut-être pas exemplaire côté vie privée, mais il n’a pas été pris en défaut par des actes de piratage», affirme Steven Meyer.
Nombreuses alternatives
Depuis quelques jours, Zoom a cessé le développement de nouvelles fonctionnalités pour se concentrer sur la résolution de ses soucis de sécurité. Une bonne chose, pour le spécialiste en cybersécurité. «N’oublions pas que cette société n’a que quelques mois de d’existence. En face, Google ou Microsoft ont des dizaines d’années d’expérience. Mais Zoom, qui reste tout de même une start-up, se mettra vite à niveau.»
Du coup, pas de raison spéciale de boycotter Zoom. Et il faut toujours se rappeler qu’il existe d’autres solutions, de Skype à Microsoft Teams, en passant par le service proposé par la société suisse Infomaniak.
