Que faut-il réellement penser de Zoom ? Depuis la mise en confinement de la moitié de planète, ce service de vidéoconférence gagne sans cesse en popularité, apparemment à juste titre. L’interface est agréable et la qualité audiovisuelle est de très bon niveau. Mais de plus en plus d’ombres apparaissent au tableau, sur le plan de la sécurité et de la protection des données personnelles.
La semaine dernière, on se souvient, l’entreprise a dû faire plusieurs rétropédalages. D’après le site Vice, son application iOS partageait des données d’utilisateurs avec Facebook sans que cela soit clairement mentionné. Parallèlement, un chercheur de Harvard alertait dans une note de blog sur la vente potentielle par Zoom de données personnelles à des fins publicitaires.
Vendredi dernier, l’appli a été mise à jour pour stopper cet échange avec Facebook. Dans la foulée, l’entreprise a modifié sa politique de protection des données personnelles en ajoutant les phrases suivantes :
« Zoom ne surveille pas et n’utilise pas le contenu des clients pour une raison autre que la fourniture de nos services. Zoom ne vend de contenu client à personne et ne l’utilise pas à des fins publicitaires. » Fin de la polémique ? Pas vraiment.
De fausses promesses
Le site The Intercept vient maintenant de révéler que les communications audio et vidéo de Zoom ne sont pas chiffrées de bout en bout, alors que l’entreprise le suggère fortement sur son site Web et dans un libre blanc technique. D’après les termes employés, il serait ainsi possible de « sécuriser une réunion avec du chiffrement de bout en bout ». Mais en réalité, seule la messagerie instantanée peut être chiffrée de bout en bout.
Les flux audio et vidéo ne sont chiffrés qu’en TLS entre les terminaux des clients et les serveurs de Zoom, comme c’est le cas pour n’importe quel autre site Web sécurisé.
En théorie, l’entreprise peut donc écouter et visionner le contenu des réunions… et les autorités gouvernementales le peuvent aussi si elles le souhaitent. La communication marketing de Zoom est donc loin d’être claire à ce sujet, probablement parce que l’entreprise cherche à dissimuler cette faiblesse technique.
D’autres services, en effet, proposent le chiffrement de bout en bout. C’est le cas par exemple des appels vocaux de Signal et des conférences audio et vidéo d’Apple FaceTime.
Interrogé par The Intercept, le chercheur en sécurité Matthew Green souligne que le chiffrement de bout en bout d’une vidéoconférence à plusieurs personnes est compliqué à réaliser, car il faut pouvoir détecter en temps réel qui est en train de parler. Quand tout est chiffré, il faut implémenter des mécanismes spécifiques, ce qui est « faisable, mais pas facile », estime-t-il.
Et ce n’est pas tout. Sans arrêt, on découvre des bugs et des bizarreries dans les logiciels de Zoom. Le site Vice vient ainsi de révéler que des personnes qui partageaient le même nom de domaine au niveau de leurs adresses e-mail étaient automatiquement regroupées dans un même carnet d’adresses. Elles pouvaient donc accéder à des informations de profil et lancer des appels vidéo vers de parfaits inconnus.
Au niveau d’une entreprise, cela peut éventuellement faire sens, mais pour des adresses personnelles provenant de fournisseurs d’accès Internet, c’est déjà beaucoup moins le cas. Les développeurs de Zoom ont eu la présence d’esprit d’exclure les adresses des grands fournisseurs tels que Gmail, Yahoo ou Hotmail, mais ils n’ont visiblement pas pensé aux autres cas.
Une faille dans le client Windows
Des hackers viennent également de trouver une faille assez simpliste dans le client Windows. La messagerie instantanée permet d’injecter des liens externes au format réseau Windows. Si l’utilisateur clique dessus, celui qui contrôle le serveur externe en question peut récupérer l’empreinte du mot de passe de l’utilisateur, une donnée qu’un pirate peut assez facilement déchiffrer.
Hi @zoom_us & @NCSC – here is an example of exploiting the Zoom Windows client using UNC path injection to expose credentials for use in SMBRelay attacks. The screen shot below shows an example UNC path link and the credentials being exposed (redacted). pic.twitter.com/gjWXas7TMO
— hackerfantastic.x (@hackerfantastic) March 31, 2020
Sur macOS, la réputation de Zoom est, depuis longtemps, assez déplorable. En juillet 2019, rappelez-vous, un chercheur en sécurité avait révélé que n’importe quel site Web pouvait activer la webcam d’un utilisateur Mac, en raison d’un serveur Web local permanent que Zoom installait ni vu ni connu sur l’ordinateur. Une bizarrerie qu’Apple a finalement éjectée manu militari au travers d’une mise à jour d’urgence.
Des techniques dignes d’un pirate
Mais ce n’est pas pour autant la fin des mauvaises pratiques. Dans un thread Twitter, un autre chercheur en sécurité vient maintenant d’analyser la procédure d’installation de l’actuel client logiciel sur macOS. Résultat : pour améliorer le confort de l’utilisateur, les développeurs de Zoom n’hésitent pas à utiliser des techniques dignes d’un pirate.
This is not strictly malicious but very shady and definitely leaves a bitter aftertaste. The application is installed without the user giving his final consent and a highly misleading prompt is used to gain root privileges. The same tricks that are being used by macOS malware.
— Felix (@c1truz_) March 30, 2020
Toutes ces découvertes montrent que les ingénieurs de Zoom ont certes réussi à créer un logiciel de vidéoconférence performant, mais que la sécurité et la protection des données personnelles n’étaient pas vraiment au cœur de leurs préoccupations. Espérons que cela va changer.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.