Zoom : l’éditeur décrié engage une course contre la montre

Qui sera le prochain à bannir Zoom ?

Qu’elles fassent ou non l’objet d’une communication officielle, les démarches en ce sens se multiplient dans les sphères publique et privée. On les doit à une inquiétude grandissante sur la sécurité et la confidentialité du service.

En France, la Dinum (Direction interministérielle du numérique) n’impose pas d’interdiction, mais « déconseille fortement » aux agents de l’État de recourir à Zoom.

En Allemagne, le ministère des Affaires étrangères a opté pour une interdiction partielle portant sur les applications mobiles. Tout en reconnaissant la nécessité de faire des exceptions afin de pouvoir poursuivre la collaboration avec certains partenaires internationaux.

Autre pays à avoir banni l’usage de Zoom pour ses agences gouvernementales : Taïwan.
L’annonce de la décision est tombée quelques jours après que Zoom eut reconnu avoir fait transiter involontairement une partie des communications de ses utilisateurs par la Chine. Son patron Eric Yuan a évoqué une erreur technique liée à l’ajout précipité de capacités serveur.

Au bonheur de Microsoft ?

Les autorités taïwanaises suggèrent, en guise d’alternative, les solutions de Google et de Microsoft.
New York fait de même pour ses établissements scolaires – avec une préférence pour Teams.

Du côté de l’entreprise SpaceX, on a, en tout cas par écrit, simplement invité les collaborateurs à se rabattre sur les e-mails, les textos et les appels téléphoniques.

Google a été plus catégorique en intimant à ses effectifs de ne pas utiliser le client de bureau.

Zoom doit également faire face à des poursuites. Entre autres une procédure en action collective tout juste intentée à San Francisco par un actionnaire.
Ce dernier dénonce en particulier une rétention d’information sur la réalité du chiffrement.

En la matière, ce que l’éditeur présentait comme effectif de bout en bout ne l’est visiblement pas (chiffrement assuré uniquement lors du transport des données).

Transparence et expertise

Zoom a promis de corriger le tir, quand bien même il lui faudra plusieurs mois.
Il a pris d’autres initiatives dans le cadre d’un plan stratégique de 90 jours annoncé la semaine passée. Parmi elles :

  • Améliorer son programme de bug bounty
  • Stopper le développement de fonctionnalités pour se concentrer sur la sécurité et la confidentialité
  • Publier un rapport de transparence relatif aux demandes d’accès aux données reçues de la part d’autorités habilitées
  • Organiser, une fois par semaine, un webinaire avec Eric Yuan

Zoom s’est entouré, en parallèle, d’experts en cybersécurité, dont Alex Stamos, ancien RSSI de Facebook. Le comité qu’il a constitué comprend des représentants de HSBC, Netflix, Uber, VMware…

Épreuve de force

L’opération « réhabilitation » a aussi impliqué (liste non exhaustive) :

  • Une mise à jour de la politique de confidentialité, plus particulièrement pour préciser quelles données Zoom est susceptible d’exploiter et à quelles fins
  • La suppression, sur l’application iOS, d’un SDK qui envoyait des données à Facebook
  • La communication de bonnes pratiques pour éviter le « zoombombing » ; c’est-à-dire l’intrusion de tiers indésirables dans des conversations

Zoom a promis de s’expliquer sur un autre aspect du chiffrement qu’ont révélé des chercheurs basés au Canada : l’émission de clés sur des serveurs situés en Chine.

On attend également d’éventuelles modifications sur le nommage des enregistrements de réunions audio et vidéo. Le système utilisé par défaut rend prédictibles les noms des fichiers. Certains s’en sont servis pour retrouver, à l’aide d’un moteur de recherche idoine, des milliers d’enregistrements stockés sans protection, en accès libre sur le web.

Illustration principale © Zoom

Recent Posts

Mesh : Microsoft guide la VR collaborative vers Azure

Passer à l'échelle les applications de réalité virtuelle ? Il y a Azure pour ça.…

5 heures ago

Cloud : vers une supervision IT « full-stack »

La supervision informatique évolue avec la migration accélérée vers le cloud et l'empilement de technologies.…

7 heures ago

Ignite 2021 : stratégie d’ouverture pour la plate-forme Power

De la RPA à la BI, Microsoft fait évoluer les composantes de sa plate-forme Power…

9 heures ago

Cybersécurité : le Cigref et Kaspersky répondent à l’Appel de Paris

Le Cigref et Kaspersky co-président un groupe de travail de l'Appel de Paris consacré au…

1 jour ago

Assurances cyber : Google crée un raccourci vers son cloud

Google Cloud expérimente un produit d'assurance cyber à souscrire depuis sa console d'admin, à partir…

1 jour ago

Fuite de données : quel est l’impact pour les entreprises ?

Malveillantes ou accidentelles, les fuites de données augmentent avec la généralisation du télétravail. Temps, ressources,…

1 jour ago