Passer au contenu

Zoom : 5 bonnes raisons de ne pas utiliser ce service de visioconférence

Depuis plusieurs semaines, ce service de visioconférence surfe sur la vague du confinement et attire de plus en plus d’utilisateurs. Et pourtant, il y a aussi de bonnes raisons pour ne pas succomber à cette mode.

Victime de son succès, la solution de visioconférence Zoom — louée pour la qualité de son service — attire l’attention de nombreux experts qui lui découvre, eux, de bien vilains défauts. En voici un florilège.

1. Pas de chiffrement de bout en bout

Contrairement à ce qu’il est suggéré sur le site web de Zoom, les communications audio et vidéo de Zoom ne sont pas chiffrées de bout en bout. L’entreprise a donc techniquement la possibilité de déchiffrer ces flux au niveau de ses serveurs et de les intercepter. Certes, elle assure dans une note de blog que ceci n’a jamais été fait, ni par elle ni par une autorité gouvernementale.

Mais dans le doute, et si un tel niveau de sécurité est important pour vous, mieux vaut se tourner vers d’autres solutions. Le chiffrement de bout en bout d’une vidéoconférence de groupe n’est pas simple à réaliser, mais certains services le proposent comme FaceTime, WhatsApp ou Wire.

2. Les trolls et les espions peuvent venir vous voir

L’une des dernières tendances chez les trolls, c’est le « Zoombombing ». De petits farceurs se connectent à des réunions qui ne leur sont pas destinées et font des blagues, plus ou moins drôles. Comment est-ce possible ? Tout simplement parce que beaucoup d’utilisateurs diffusent le lien de connexion sur le web public, à la vue de tous.

Et même si ce n’est pas le cas, il suffit d’oublier de définir un mot de passe de réunion pour que celle-ci soit repérable par des hackers. En effet, il est facile de scanner l’espace des identifiants de réunion et, ainsi, de détecter celles qui sont actives ou planifiées. C’est ce que fait le hacker Trent Lo avec son logiciel zWarDial.

Comme le relate KrebsOnSecurity, l’expert a pu de cette manière trouver en l’espace d’une journée plus de 2400 réunions en libre accès, y compris au sein de grandes entreprises. Il avait accès à la date de la réunion, au nom de l’organisateur et à toute information fournie par celui-ci. Pratique si l’on veut faire de l’espionnage industriel.

KrebsOnSecurity

3. C’est un produit criblé de failles de sécurité

Depuis le confinement, Zoom a gagné en notoriété, passant de 10 à 200 millions d’utilisateurs quotidiens. Mais du coup, les hackers s’y intéressent aussi… et ils trouvent de nombreuses failles. La dernière en date vient du chercheur Patrick Wardle qui, en l’espace de quelques heures, a trouvé deux failles zero-day dans la version macOS du logiciel client. Elles permettraient à un malware d’obtenir des privilèges administrateur et d’intercepter les flux audio et vidéo de la webcam.

Quelques jours auparavant, une faille dans le logiciel client Windows permettait à un pirate de récupérer à distance des identifiants de connexion réseau. Par le passé, d’autres failles assez évidentes ont été révélées. Bref, les développeurs de Zoom ne se sont visiblement pas beaucoup penchés sur la sécurité. Dans une note de blog, le PDG et fondateur Eric Yuan le reconnaît et il se donne 90 jours pour désormais blinder son logiciel. Mieux vaut tard que jamais.

Lire aussi: Zoom : le service de vidéoconférence ultra-populaire est très efficace, mais très mal sécurisé

4. Peu d’attention à la protection des données personnelles

L’éditeur s’est récemment fait épingler à plusieurs reprises pour une mauvaise gestion des données personnelles. Ainsi, son application iOS envoyait des données à Facebook sans le consentement des utilisateurs. L’intégration du service Zoom avec LinkedIn permettait de dévoiler le profil professionnel des participants, sans le consentement de ces derniers et même s’ils étaient connectés de manière anonyme.

Par ailleurs, comme l’a montré Vice, la fonction de carnet d’adresses de Zoom (« Company Directory ») peut regrouper automatiquement des personnes qui ne connaissent pas et qui ne travaillent pas ensemble, seulement parce que leurs e-mails partagent le même nom de domaine. Enfin, signalons que Zoom a été contraint de modifier en urgence sa politique de protection des données personnelles, car elle n’était pas assez claire quant à l’éventuel usage commercial des contenus des réunions. Cela ne fait pas très sérieux.

Vice – Mais qui sont tous ces gens ?!

5. SpaceX et la NASA ne font pas confiance à Zoom

Si vous manipulez des données sensibles et confidentielles, mieux vaut ne pas utiliser Zoom. C’est en tous les cas ce que pensent les géants de l’aérospatial SpaceX et la NASA. Dans un mémo envoyé aux salariés, la direction de SpaceX interdit l’usage de ce service et recommande de communiquer… par e-mail et téléphone. Mazette ! Si Zoom inspire moins confiance que l’e-mail, c’est que ses créateurs ont vraiment loupé quelque chose…

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.