Clé à emporter
- La Federal Trade Commission des États-Unis a annoncé le 9 novembre qu'elle était parvenue à un accord avec Zoom après avoir allégué avoir induit les utilisateurs en erreur concernant la sécurité.
- Le règlement exige que Zoom mette en place un "programme de sécurité complet".
- Zoom dit avoir déjà résolu les problèmes et a récemment annoncé qu'il introduirait un chiffrement de bout en bout.
La plate-forme de conférence populaire Zoom renforce ses pratiques de sécurité dans le cadre d'un règlement avec la Federal Trade Commission (FTC) des États-Unis, suite aux allégations de l'agence selon lesquelles elle aurait induit les utilisateurs en erreur sur son niveau de sécurité.
Zoom est devenu un nom familier en quelques mois seulement, le monde se tournant vers sa plate-forme de visioconférence en raison de la pandémie qui limite considérablement les réunions en personne. Cependant, une plainte de la FTC a allégué que Zoom "s'était engagé dans une série de pratiques trompeuses et déloyales qui portaient atteinte à la sécurité de ses utilisateurs".
Cela fait suite à l'examen minutieux d'experts en sécurité plus tôt cette année, qui ont découvert que la plate-forme n'utilisait pas de chiffrement de bout en bout malgré les affirmations marketing. Zoom a également rencontré d'autres problèmes de sécurité au cours de sa montée en popularité, tels que des participants indésirables qui plantent des réunions dans une pratique appelée "zoombombing". Dans le cadre du règlement FTC, Zoom s'est engagé à mettre en œuvre un "programme de sécurité complet".
"Pendant la pandémie, pratiquement tout le monde - familles, écoles, groupes sociaux, entreprises - utilise la visioconférence pour communiquer, ce qui rend la sécurité de ces plateformes plus critique que jamais ", Andrew Smith, directeur du Bureau of Consumer de la FTC Protection dit dans le communiqué de presse de l'agence.
"Les pratiques de sécurité de Zoom ne sont pas conformes à ses promesses, et cette action contribuera à garantir la protection des réunions Zoom et des données sur les utilisateurs de Zoom."
Contrôle gouvernemental
La plainte de la FTC allègue que Zoom a induit ses utilisateurs en erreur sur plusieurs problèmes liés à la sécurité, dont le plus important concerne les affirmations concernant le chiffrement de bout en bout.
Il a déclaré que Zoom prétendait offrir un cryptage 256 bits de bout en bout pour les appels Zoom depuis 2016, mais offrait en réalité un niveau de sécurité inférieur. Lorsque le chiffrement de bout en bout est activé, seuls les participants à un appel ou à un chat ont accès aux informations échangées, et non Zoom, le gouvernement ou toute autre partie.
En outre, la plainte allègue que Zoom a stocké des réunions enregistrées et non cryptées sur ses serveurs jusqu'à 60 jours alors qu'il avait dit à certains de ses utilisateurs qu'ils seraient immédiatement cryptés.
Un autre problème concerne le logiciel Mac appelé ZoomOpener, qui est resté sur les ordinateurs des utilisateurs même lors de la suppression de Zoom et aurait pu les rendre vulnérables aux pirates. "Ce logiciel a contourné un paramètre de sécurité du navigateur Safari et mis les utilisateurs en danger. Par exemple, il aurait pu permettre à des inconnus d'espionner les utilisateurs via les caméras Web de leur ordinateur", explique Alvaro Puig, spécialiste de l'éducation des consommateurs de la FTC, dans un article de blog.
Réponse de Zoom
Alors que Zoom n'a réglé que récemment la plainte de la FTC, la société a déclaré à Lifewire dans un e-mail qu'elle avait "déjà résolu" les problèmes.
"La sécurité de nos utilisateurs est une priorité absolue pour Zoom", a déclaré un porte-parole de la société à Lifewire dans un e-mail. Zoom a pris plusieurs mesures pour répondre aux allégations de la FTC, y compris le lancement d'un plan de 90 jours en avril qui a produit plus de 100 fonctionnalités liées à la confidentialité et à la sécurité.
Zoom a introduit le cryptage de bout en bout fin octobre, rendu possible par son acquisition en mai d'une société appelée Keybase. Le cryptage de bout en bout est toujours dans ce que Zoom appelle le mode "aperçu technique", et la société affirme que les serveurs de Zoom n'ont pas accès aux clés de cryptage. Pour l'instant, certaines fonctionnalités sont limitées en mode de chiffrement de bout en bout, notamment la possibilité de rejoindre la réunion avant l'hôte et les salles de sous-commission.
Comment utiliser le cryptage de bout en bout de Zoom
Nitesh Saxena, professeur d'informatique à l'Université de l'Alabama à Birmingham, déclare que les efforts de Zoom pour mettre en œuvre un véritable système de chiffrement de bout en bout sont un "pas dans la bonne direction", mais note qu'il reste encore du travail à faire.
"Il y a des problèmes importants qui doivent être résolus avant que cela puisse vraiment fournir le niveau de sécurité que les utilisateurs peuvent exiger des appels Zoom", dit-il.
Saxena, qui a étudié de manière approfondie la sécurité de Zoom, affirme que la sécurité de sa méthode de chiffrement de bout en bout repose en fin de compte sur le processus utilisé pour valider les clés cryptographiques des participants à la réunion (une étape clé pour empêcher les indiscrets d'accéder à l'appel).
Dans ce cas, les utilisateurs le vérifient eux-mêmes avant de démarrer la réunion. Dans la première phase de Zoom de son protocole de cryptage de bout en bout, l'hôte de la réunion lit un code à 39 chiffres que les autres doivent vérifier sur leur écran.
Les pratiques de sécurité de Zoom ne sont pas conformes à ses promesses, et cette action contribuera à garantir la protection des réunions Zoom et des données sur les utilisateurs de Zoom.
Selon les recherches de Saxena et de son équipe, cette approche pourrait être sujette à l'erreur humaine si quelqu'un n'y prête pas attention et accepte accidentellement un code qui ne correspond pas ou saute complètement le processus.
De plus, les hôtes et les participants de la réunion doivent s'assurer qu'ils activent le chiffrement de bout en bout avant de démarrer la réunion, car il n'est pas activé par défaut. Les recherches de Saxena ont également révélé que les types de codes numériques utilisés par Zoom pourraient également être sujets à un certain type d'attaque.
Ainsi, les utilisateurs de Zoom peuvent être soulagés que la plate-forme ait déjà résolu les principaux problèmes de sécurité soulevés par la plainte de la FTC et propose désormais la première phase de chiffrement de bout en bout. Cependant, les participants à la conférence doivent être conscients que l'utilisation correcte du nouveau mode de chiffrement de bout en bout nécessite une attention particulière au moment du processus de validation du code au début de l'appel.