L’application de visio-conférence Zoom a fait parler d’elle ces derniers temps du fait de différents problèmes de sécurité, mais aussi par rapport au respect de la vie privée. Afin d’y voir un peu plus clair, nous sommes allés à la rencontre d’Erwan Macé, spécialiste en cybersécurité.
Bonjour Erwan, pouvez-vous vous présenter en quelques mots ?
Je m’appelle Erwan Macé, je suis un tech entrepreneur arrivé à Singapour avec mes parents il y a 32 ans et ayant passé un peu plus de la moitié de mon temps ici. J’ai eu la chance de découvrir ma passion pour la tech (qu’on appelait encore l’informatique à l’époque) dès l’âge de 8-10 ans et de débuter ma carrière dans l’internet dès la fin des années 90. Après avoir passé une quinzaine d’années dans différentes startups et plus grosses entreprises en France et à Singapour (Akamai, Vivendi et Google), j’ai créé la société Bitsmedia et l’application mobile Muslim Pro (90 millions de téléchargements) en 2009. Je viens récemment de créer une nouvelle société MyCyberhome.com, dans le but de développer une solution de cyber sécurité grand public destinée à aider les particuliers à mieux protéger leurs réseaux wifi et leurs smartphones. L’application MyCyberHome, en cours de développement, devrait je l’espère sortir d’ici la fin de l’année.
Venons-en à notre sujet, Zoom. L’application, inconnue du grand public il y a peu, a fait couler beaucoup d’encre ces derniers temps. pouvez-vous nous en dire plus ?
L’application Zoom est une application de visio-conférence multi-plateforme (disponible sur Mac, PC, iOS, Android). Si l’application Zoom existe depuis plusieurs années déjà, celle-ci a bénéficié d’un essor soudain et clairement inattendu lorsque la pandémie de Covid19 a découlé sur le confinement de plus de la moitié de la population mondiale. Les entreprises, mais aussi les écoles et les particuliers se sont tous tournés vers la visio-conférence pour le télétravail, l’enseignement à distance et les apéros virtuels. Gratuite et ne nécessitant pas d’enregistrement ou de création de compte au préalable (à l’inverse de Google Hangout ou encore de Skype jusqu’au récent lancement de l’option « Meet Now » il y a quelques jours), l’application Zoom est clairement celle qui a connu l’adoption la plus rapide en passant de 10 millions d’utilisateurs par jour (moyenne en décembre) à 200 millions par jour en mars.
Du coup, comment ont-ils géré cette montée vertigineuse de la demande ?
Il semblerait malheureusement que ni l’application (le logiciel que l’on installe sur son ordinateur ou iPad), ni les infrastructures (la partie serveur) de Zoom n’étaient adaptées à un tel succès en termes de sécurité et de confidentialité. Comme toute application ou service utilisé par un tel nombre d’utilisateurs, elle est aussi très vite devenue la cible des chercheurs en sécurité qui l’ont disséquée en quête de failles, mais aussi des hackers malveillants. Dans le meilleur des cas ils ont tenté de s’infiltrer et de perturber une conversation au hasard (appelé le Zoom Bombing). Hélas, ils ont aussi réussi à dérober des secrets professionnels partagés pendant les visios, mais aussi à exposer nos jeunes enfants à des contenus inappropriés pendant un cours de maths à distance.
Concrètement quelles étaient les failles de sécurité présentes ?
Elles étaient diverses et variées, mais les plus importantes étaient :
- La version iOS (pour iPhone et iPad) utilise un SDK Facebook (un kit de développement facilitant le développement de certaines fonctionnalités et utilisé par de très nombreuses applications) qui partageait avec Facebook des données sur l’usage et le comportement des utilisateurs de Zoom, y compris pour ceux ne disposant pas d’un compte Facebook. La version iOS a été mise à jour depuis pour cesser cette pratique
- La version Mac de Zoom utilisait un mode d’installation « fantôme » qui lui permettait de s’installer seule sur un ordinateur Apple sans aucune interaction (et donc validation/confirmation) de la part de l’utilisateur. Même si l’application Zoom est parfaitement légale, cette pratique généralement utilisée par les malwares est plutôt mal vue. La société a publié une mise à jour depuis pour corriger cela
- Zoom a également corrigé dans sa version Mac une vulnérabilité qui permettait à un hacker de prendre le contrôle du micro et de la webcam
- Le chiffrement de bout-en-bout dont se vente Zoom a aussi été très critiqué par différents chercheurs en sécurité pour son design peu sécurisé. Ils ont, depuis, commencé à adopter un meilleur standard de chiffrement (AES 256-bit GCM) qui sera généralisé pour tous ses utilisateurs à partir du 30 mai. Ils viennent également de faire l’acquisition de la startup Keybase, afin de proposer prochainement une sécurisation bout-en-bout des communications pour les utilisateurs de la version payante.
- Des chercheurs ont également démontré à quel point il était simple de trouver sur internet des liens vers des visio-conférences Zoom (live ou enregistrées) non sécurisées (la sécurisation par mot de passe est une option). Le mot de passe est désormais activé par défaut lors de la création de toute nouvelle visio-conférence ainsi que la fonctionnalité de « salle d’attente virtuelle » qui requiert la validation manuelle de chaque participant qui tente de se connecter
- Zoom intégrait il y a encore quelques semaines une fonctionnalité qui récupérait automatiquement le profile LinkedIn d’un utilisateur afin de simplifier le remplissage du formulaire d’inscription. Il était ensuite possible d’accéder aux profiles LinkedIn de tout autre participant à une même visio-conférence, y compris ceux des utilisateurs ayant choisi de participer anonymement derrière un pseudonyme. Cette fonctionnalité a été supprimée depuis
- La version Windows de Zoom contenait jusqu’à récemment une faille (corrigée depuis) qui permettait à un pirate informatique de voler à distance le nom d’utilisateur et le mot de passe de votre ordinateur
- Une fonctionnalité, retirée depuis, permettait à l’administrateur d’une visio-conférence d’être alerté lorsqu’un participant cliquait (avec sa souris) en dehors de la fenêtre Zoom (pour se faire une petite partie de solitaire en plein forecast avec votre directeur commercial par exemple). S’il ne s’agit pas là d’une véritable faille de sécurité, cette fonctionnalité posait un réel problème de confidentialité et de protection de la vie privée. Elle a depuis été retirée. En matière de protection des données, l’entreprise Zoom a également mis à jour ses conditions d’utilisation et sa politique de confidentialité pour limiter l’usage qu’elle s’autorise à faire des données de leurs utilisateurs.
Tout est rentré dans l’ordre maintenant ?
La plupart des problèmes rencontrés par Zoom depuis le début de l’épidémie Covid19 ont donc été corrigés. La fondation Mozilla (à l’origine du navigateur Firefox) a récemment inclus Zoom dans sa liste des logiciels de visioconférences suffisamment sûrs (source). Les entreprises, écoles et utilisateurs privés ont également adopté de meilleurs pratiques et comportements comme :
- L’activation du mot de passe (désormais activé par défaut)
- L’utilisation d’un mot de passe unique pour chaque nouvelle visio-conférence
- L’activation de la salle d’attente virtuelle (désormais activée par défaut)
- Le filtrage des participants par domaine de l’adresse email (uniquement @ifs.edu.sg ou @mycyberhome.com par exemple)
- La restriction du partage d’écran, voire du micro ou de la caméra de certains participants
La simplicité d’utilisation mais aussi l’attention extrême dont l’application a été le sujet en termes de sécurité ces derniers mois (et donc les corrections apportées depuis), me semblent en faire une solution tout à fait adaptée à la plupart des usages de visio-conférence professionnels, éducatifs ou personnels les plus « classiques ». Les entreprises ou administrations les plus sensibles et exposées en termes de sécurité et de confidentialité se tourneront certainement vers d’autres solutions préalablement validées par leurs Directions de la Sécurité des Systèmes d’Information (CISO).