Les communications vidéo Zoom laissent passer encore plus de données qu’imaginé

. © Zoom
Els Bellens

Zoom, l’appli de visioconférence qui a atteint des sommets insoupçonnés durant ces dernières semaines de confinement, accumule les problèmes de sécurité. Elle laisserait en effet passer des adresses mail et mots de passe d’utilisateurs et mentirait à propos de son cryptage.

L’appli Zoom de visioconférence se retrouve subitement partout, à présent qu’une grande partie de la population laborieuse est confinée et en est réduite au télétravail. En Grande-Bretagne, elle est même utilisée par le premier ministre en quarantaine en vue de diriger ses réunions de cabinet. Boris Johnson ferait cependant bien de s’informer correctement, car le regain de popularité de l’appli fait en sorte qu’elle est l’objet d’examens approfondis. Et que constate-t-on? Que Zoom est fortement perméable.

La semaine dernière déjà, l’Electronic Frontier Foundation notamment lançait une mise en garde contre des risques de non-respect de la vie privée lors de l’utilisation de l’appli. C’est ainsi que l’organisateur d’une communication pourrait découvrir quels autres logiciels tournent sur les ordinateurs de ses co-télétravailleurs, et que des gestionnaires pourraient par exemple mettre la main sur des adresses IP, données de localisation et renseignements d’appareils utilisés par exemple. Une directive – entre-temps adaptée – de la politique de confidentialité de l’entreprise permettait en outre à Zoom d’analyser les entretiens à des fins de marketing. En janvier, Check Point Research avait pour sa part découvert une faille permettant de mettre sur écoute à distance les réunions, alors que l’année dernière, la startup avait été aux prises avec un bug permettant à une personne mal intentionnée de prendre à distance le contrôle de la webcam. Le bug avait été finalement corrigé.

Cryptage

Mais il reste d’autres cadavres dans le placard. Selon une enquête effectuée par The Intercept, Zoom ment par exemple à propos de ses mesures de sécurité. L’entreprise signale sur son site web et dans un rapport que le service supporte le cryptage bout à bout, mais ce ne serait pas tout à fait vrai. Le service proposé est le cryptage TLS (‘transport encryption’), ce qui est différent. Dans le cryptage bout à bout, les données sont cryptées sur votre ordinateur et décryptées chez le destinataire. L’entreprise qui fournit le service et par les serveurs de laquelle cela se passe, ne peut voir les messages. Tel est le protocole que des services de messagerie tels WhatsApp ou Signal utilisent par exemple, mais c’est aussi le type de cryptage que les autorités n’apprécient pas, parce qu’elles ne peuvent ainsi pas solliciter des messages auprès d’entreprises technologiques.

De son côté, le cryptage TLS est comparable à une protection https d’un site web par exemple. Le site web en question est au courant de votre présence et peut voir ce sur quoi vous cliquez, mais la connexion entre vous et lui est, elle, sécurisée. En ce qui concerne le cryptage TLS de Zoom, la connexion entre vous et Zoom et celle entre votre destinataire et Zoom sont sécurisées. Mais Zoom peut éventuellement voir les données qui transitent par ses serveurs, même si l’entreprise signale qu’elle ne décrypte pas les données, lorsqu’elles se trouvent dans le nuage Zoom. La raison pour laquelle Zoom ne qualifie pas son cryptage de bout à bout (‘end-to-end’), selon un porte-parole dans The Intercept, c’est qu’elle considère ses propres serveurs comme des terminaux (‘end points’). C’est là une façon particulièrement créative de dire les choses, étant donné que les ‘end points’ sont généralement les… points finaux, à savoir les appareils de l’utilisateur et pas le serveur du service qui se trouve entre les deux.

Adresses mail et mots de passe

Selon un rapport dans Vice, l’entreprise se montre aussi maladroite avec les adresses mail. Il est tout spécialement question d’une fonction par laquelle les personnes ayant le même domaine de mail sont incorporées dans un répertoire d’entreprise. C’est pratique d’un point de vue professionnel, car cela signifie que vous pouvez par exemple effectuer une recherche sur les profils de vos collègues du domaine d’entreprise, avec leurs photos et courriels. Ce qui l’est moins, c’est si le domaine d’entreprise est du genre ‘xs4all.nl’, à savoir le répertoire mail de l’un des ISP des Pays-Bas. Les personnes qui se connectent à Zoom avec leur mail personnel, peuvent dans certains cas découvrir les noms, adresses et éventuellement photos d’une série d’autres comptes dans ce même domaine d’entreprise, même si ce sont les mails personnels de tiers.

Zoom a entre-temps mis sur sa liste noire les noms de domaine qui apparaissent dans le rapport de Vice et signale que des personnes peuvent toujours faire mettre des noms de domaine sur sa liste noire. C’est ainsi qu’elle n’intègre pas par défaut dans ce genre de répertoire des noms de domaine tels gmail.com, hotmail.com et d’autres.

Rtlnieuws révèle entre-temps que l’appli Zoom peut aussi laisser passer votre mot de passe Windows. L’appli vous permet de partager des liens vers les sites web, mais vous pouvez aussi prévoir des liens vers des fichiers sur votre propre ordinateur. Si vous agissez ainsi, Windows transférera automatiquement les données de login vers le destinataire du lien, selon RTL, ce qui fait que d’éventuels agresseurs peuvent aussi mettre la main dessus. Zoom n’a pas encore réagi à cette possible faille.

Ecoles

Tout cela a déjà amené le procureur public de New York, Laetitia James, à lancer une enquête à propos de Zoom. Elle soupçonne que la startup n’est pas à la hauteur de sa soudaine popularité et qu’elle ne dispose pas des procédures adéquates pour que tout se déroule de manière sûre. Selon James, c’est d’autant plus important que Zoom est utilisée ici et là aux Etats-Unis pour des écoles et des cours numériques, maintenant que les enfants doivent rester à domicile. James se préoccupe du respect de la vie privée de ces enfants et se demande si Zoom s’en tient bien aux règles d’application dans l’obtention de toutes les autorisations requises en matière de collecte de données.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire