Zoom : l’éditeur décrié engage une course contre la montre

Qui sera le prochain à bannir Zoom ?

Qu’elles fassent ou non l’objet d’une communication officielle, les démarches en ce sens se multiplient dans les sphères publique et privée. On les doit à une inquiétude grandissante sur la sécurité et la confidentialité du service.

En France, la Dinum (Direction interministérielle du numérique) n’impose pas d’interdiction, mais « déconseille fortement » aux agents de l’État de recourir à Zoom.

En Allemagne, le ministère des Affaires étrangères a opté pour une interdiction partielle portant sur les applications mobiles. Tout en reconnaissant la nécessité de faire des exceptions afin de pouvoir poursuivre la collaboration avec certains partenaires internationaux.

Autre pays à avoir banni l’usage de Zoom pour ses agences gouvernementales : Taïwan.
L’annonce de la décision est tombée quelques jours après que Zoom eut reconnu avoir fait transiter involontairement une partie des communications de ses utilisateurs par la Chine. Son patron Eric Yuan a évoqué une erreur technique liée à l’ajout précipité de capacités serveur.

Au bonheur de Microsoft ?

Les autorités taïwanaises suggèrent, en guise d’alternative, les solutions de Google et de Microsoft.
New York fait de même pour ses établissements scolaires – avec une préférence pour Teams.

Du côté de l’entreprise SpaceX, on a, en tout cas par écrit, simplement invité les collaborateurs à se rabattre sur les e-mails, les textos et les appels téléphoniques.

Google a été plus catégorique en intimant à ses effectifs de ne pas utiliser le client de bureau.

Zoom doit également faire face à des poursuites. Entre autres une procédure en action collective tout juste intentée à San Francisco par un actionnaire.
Ce dernier dénonce en particulier une rétention d’information sur la réalité du chiffrement.

En la matière, ce que l’éditeur présentait comme effectif de bout en bout ne l’est visiblement pas (chiffrement assuré uniquement lors du transport des données).

Transparence et expertise

Zoom a promis de corriger le tir, quand bien même il lui faudra plusieurs mois.
Il a pris d’autres initiatives dans le cadre d’un plan stratégique de 90 jours annoncé la semaine passée. Parmi elles :

  • Améliorer son programme de bug bounty
  • Stopper le développement de fonctionnalités pour se concentrer sur la sécurité et la confidentialité
  • Publier un rapport de transparence relatif aux demandes d’accès aux données reçues de la part d’autorités habilitées
  • Organiser, une fois par semaine, un webinaire avec Eric Yuan

Zoom s’est entouré, en parallèle, d’experts en cybersécurité, dont Alex Stamos, ancien RSSI de Facebook. Le comité qu’il a constitué comprend des représentants de HSBC, Netflix, Uber, VMware…

Épreuve de force

L’opération « réhabilitation » a aussi impliqué (liste non exhaustive) :

  • Une mise à jour de la politique de confidentialité, plus particulièrement pour préciser quelles données Zoom est susceptible d’exploiter et à quelles fins
  • La suppression, sur l’application iOS, d’un SDK qui envoyait des données à Facebook
  • La communication de bonnes pratiques pour éviter le « zoombombing » ; c’est-à-dire l’intrusion de tiers indésirables dans des conversations

Zoom a promis de s’expliquer sur un autre aspect du chiffrement qu’ont révélé des chercheurs basés au Canada : l’émission de clés sur des serveurs situés en Chine.

On attend également d’éventuelles modifications sur le nommage des enregistrements de réunions audio et vidéo. Le système utilisé par défaut rend prédictibles les noms des fichiers. Certains s’en sont servis pour retrouver, à l’aide d’un moteur de recherche idoine, des milliers d’enregistrements stockés sans protection, en accès libre sur le web.

Zoom formats enregistrement

Illustration principale © Zoom