Impossible de lui échapper si vous télétravaillez ou télécélébrez: vos chef·fes et camarades ne jurent plus que par elle. L'application de visioconférence Zoom s'est imposée comme un outil incontournable de la vie professionnelle comme privée en confinement. Le problème, c'est qu'elle est aussi très intrusive: depuis une semaine, les révélations gênantes s'amoncellent dans les médias.
C'est Motherboard qui a ouvert les hostilités. Le 26 mars, le site tech de Vice a dévoilé, en analysant son code, que la version iOS de Zoom partageait certaines informations des usagèr·es avec Facebook, sans les en informer.
L'information a fait le tour du monde. Dès le lendemain, l'entreprise a annoncé mettre fin à cette pratique et présenté ses plus plates excuses. Le même jour, une plainte était déposée contre Zoom en Californie.
Motherboard ne s'est pas arrêté là. Le 31 mars, son journaliste Joseph Cox s'est penché sur un autre problème majeur de Zoom: sa fonctionnalité annuaire d'entreprise. Elle permet à une personne d'accéder à tous les contacts utilisant un e-mail avec le même nom de domaine qu'elle. Ce qui peut être utile si l'on utilise une adresse professionnelle.
Mais que se passe-t-il si l'on s'inscrit avec son e-mail personnel? Des milliers d'usagèr·es l'ont appris à leurs dépens. Les algorithmes de Zoom les ont inscrit·es à des «annuaires d'entreprises» générés aléatoirement et regroupant des centaines de personnes. Par conséquent, des centaines d'inconnu·es pouvaient accéder à leur adresse mail, leurs photos et les appeler par visioconférence.
Intox au chiffrement et piratages
Le site d'investigation The Intercept a emboîté le pas à Motherboard. Zoom assure que les visioconférences sont «chiffrées de bout en bout» sur son application pour PC ou Mac. Le chiffrement de bout en bout suppose que le flux vidéo envoyé par les usagèr·es reste chiffré y compris lorsqu'il transite par le serveur; ainsi, le personnel de la messagerie utilisée ne peut accéder aux conversations.
Or, les affirmations de Zoom sont trompeuses, comme l'a dévoilé le site d'investigation le 31 mars. L'application chiffre effectivement les flux vidéo qui vont des usagèr·es vers ses serveurs, et vice versa. Mais lorsqu'ils sont sur les serveurs, les flux ne sont pas chiffrés. Une personne travaillant pour Zoom et ayant accès aux serveurs pourrait donc théoriquement voir et entendre ce qu'il se passe dans l'une de vos visioconférences.
Les problèmes de Zoom ne se limitent pas à la vie privée. Des usagèr·es ont vu leurs visioconférences piratées et bombardées d'images pornographiques ou racistes, une pratique connue sous le nom de «zoombombing».
Si l'on a le malheur de diffuser l'URL de la discussion, comme l'a fait Boris Johnson, d'autres personnes peuvent y accéder. Il est également recommandé de passer les visioconférences en privé.
Pire encore, Zoom serait l'une des applications privilégiées des pédocriminels pour perpétrer des «viols à distance» en donnant des instructions à un·e complice qui diffuse en direct ses sévices sur des enfants. Un procureur fédéral américain a même qualifié l'application de «Netflix de la pédopornographie» en 2015.
Le 1er avril, et sans l'once d'une blague, un ex de la NSA enfonçait le clou en affirmant avoir découvert deux failles majeures, à même de laisser un·e pirate prendre le contrôle de l'ordinateur ciblé via Zoom, y installer divers malware –et bien entendu accéder aux flux audio et vidéos ouverts par l'application.
Inutile de paniquer: vous pouvez organiser vos visioconférences via Skype, WhatsApp ou Messenger, qui offrent de meilleures garanties que Zoom. Et si vous tenez à protéger au mieux votre vie privée, des alternatives libres et sécurisées existent.
Depuis la parution de l'article, trois autres éléments nous ont été signalés par le compte Twitter du site open-freax.fr. Premièrement, la fonctionnalité «indicateur d'attention» permet à la personne qui organise la visioconférence de surveiller si vous prêtez attention à ce qu'elle raconte.
Deuxièmement, par le passé, Zoom a installé sur les Mac un serveur web caché, une vulnérabilité qui permettait à n'importe qui d'appeler leurs propriétaires en vidéo sans autorisation, et restait active même en cas de désinstallation de l'application.
Apple l'a supprimé via une mise à jour «silencieuse» en juillet 2019, un sort normalement réservé aux malwares. Enfin, des vulnérabilités de la nouvelle star de la visioconférence permettent de pirater les identifiants sous Windows.
