Dans le contexte d’une augmentation soudaine de la demande de travail à distance, une des options qui a été adoptée par des millions de consommateurs est Zoom. Avec sa montée en puissance, l’application de vidéoconférence freemium a attiré beaucoup d’attention – mais pas toujours pour les meilleures raisons.
L’explication de la popularité de Zoom consiste probablement du fait qu’il exécute expressément ce qui est noté noir sur blanc : il fournit un moyen rapide et accessible de connecter les gens par vidéo (sans toutefois fournir le degré de cryptage de bout en bout qu’il promet).
Dans un monde parfait, ce serait tout ce dont un utilisateur final attend d’une application de webconférence. Mais le problème est que nous vivons dans un monde plein de menaces pour la sécurité et la vie privée.
Cela signifie que l’utilisation de Zoom pose d’énormes problèmes aux entreprises et aux particuliers. En effet, au bout du compte, Zoom ne fait pas grand-chose pour vous protéger de ces menaces. En fait, il fait même beaucoup pour vous exposer davantage à ces menaces.
Voyons comment Zoom vous trompe en matière de sécurité et de protection de la vie privée, et ce que fait Wildix à la place.
Unsecured, Inside and OutInsécurité, tant à l’intérieur qu’à l’extérieur
Un exploit bien connu de Zoom est la possibilité pour des étrangers d’entrer dans des vidéoconférences sans y être invités. En fait, cette pratique est si courante qu’elle a reçu son propre nom : « Zoombombing », un terme que même le FBI a reconnu après avoir dû intervenir pour une mise en garde contre les attaques.
Cette question a attiré l’attention en raison des perturbations choquantes que les zoombombers provoquent : en criant des obscénités ou même en partageant des documents sexuellement explicites, ils cherchent à perturber le plus possible les participants et à faire de leur harcèlement un sujet d’attention pour tout le monde.
Ces intrusions ont été rendues possibles en grande partie grâce à l’approche laxiste de Zoom en matière de sécurité des conférences. Le gros problème est que les URL des conférences de Zoom utilisent tous un code numérique simple, de neuf à onze chiffres, ce qui permet à des agents malveillants d’entrer facilement dans une salle de conférence par le biais d’un piratage de Brute-Force, ce qui signifie que les conférences de Zoom peuvent facilement être perturbées même si l’invitation de leur salle est gardée secrète. Ce qui complique encore les choses, c’est que, jusqu’à récemment, les mesures préventives de Zoom contre de telles perturbations, telles que le verrouillage par mot de passe et les salles d’attente, étaient désactivées par défaut.
Tout cela suggère que le zoombombage n’est pas le résultat d’une erreur de l’utilisateur, mais d’une mauvaise conception. Concrètement, la sécurité d’un programme n’est bonne que dans la mesure où l’on peut s’attendre à ce que l’utilisateur final moyen le maintienne. Par conséquent, il est essentiel que les logiciels de communication soient sécurisés automatiquement, sans qu’il soit nécessaire de recourir à des guides d’utilisation et des vidéo tutorielles interminables.
Pourtant, ce que nous voyons chez Zoom est tout le contraire : au lieu de garantir la sécurité des utilisateurs par lui-même, le programme fait en sorte qu’il incombe à l’utilisateur de comprendre la plateforme dans ses moindres détails, sous peine d’être victime de failles de sécurité.
La mauvaise conception de Zoom est encore plus évidente dans le choix plutôt étrange de l’application d’utiliser des outils de pré-installation dans son logiciel Apple. Ce code, révèlent les experts en sécurité, permet à Zoom de s’installer sur macOS sans la permission de l’utilisateur – et, chose alarmante, il est généralement vu dans les logiciels malveillants, et non dans les outils de conférence web.
Ce problème n’est pas dû au fait que Zoom soit lui-même malveillant, mais au fait qu’il peut devenir le complice involontaire d’un logiciel malveillant. Grâce à des prouesses pré- installation et aux autorisations que vous donnez à l’application, Zoom peut être exploité par des virus afin de vous enregistrer à votre insu.
Oui – avec Zoom installé sur un Macbook, il est en fait plus facile pour les logiciels malveillants de détourner votre webcam et votre micro.
En revanche, avec Wildix, ces vulnérabilités sont inexistantes.
Tout d’abord, la question des invités indésirables entrant dans une conférence est résolue automatiquement grâce à une URL alphanumérique plus complexe. En incluant à la fois des chiffres et des lettres aléatoires dans les URL des conférences, la plateforme rend automatiquement l’entrée (et encore plus la perturbation) d’une conférence exponentiellement plus difficile pour les intrus.
Quant aux logiciels malveillants, ce problème est résolu par la conception basée sur le navigateur. En passant par le WebRTC, Wildix nécessite votre autorisation explicite pour utiliser votre micro et votre webcam à partir de nouveaux domaines web. Mais surtout, le programme est exceptionnellement difficile à pirater en premier lieu grâce à la conception quasi impénétrable du WebRTC.
En ce qui concerne la sécurité, Wildix fonctionne de manière efficace et transparente dès le départ.
Zoom, quant à lui, utilise une conception qui maintient les utilisateurs dans l’ignorance de ses opérations de sécurité.
Un échange de succursales pas si privé
L’approche secrète de Zoom concernant ses fonctionnalités s’est également étendue à sa politique de confidentialité, que l’expert en cybersécurité Doc Searls décrit comme « effroyablement proche » avec les sociétés de tracking de publicités.
Suite à une plainte du Consumer Reports, la politique de confidentialité de longue date de Zoom a permis au logiciel non seulement de stocker les données qu’il capture lors d’une vidéoconférence – ce qui inclut tout, du visage aux objets en arrière-plan de votre appel – mais aussi de vendre ensuite vos données au secteur marketing.
Si, heureusement, cette pratique a pris fin avec la dernière politique de confidentialité de Zoom, il reste à savoir pourquoi une telle politique a été incluse, considérant qu’un développeur de webconférence compétent devrait gagner de l’argent avec son logiciel propriétaire, et non en exploitant des données.
Plus préoccupante encore est la façon dont Zoom gère les enregistrements vidéo des conférences. Comme l’a révélé le Washington Post, lorsque Zoom enregistre une conférence, le service enregistre par défaut le fichier à une URL publique – si publique, en fait, que les enregistrements de Zoom peuvent être trouvés par une simple recherche sur Google.
Par défaut, Zoom met littéralement des conférences à la disposition d’Internet dans son intégralité, et donc du monde entier, pour qu’il puisse les voir. Si les paramètres et les noms personnalisés des utilisateurs peuvent à nouveau ajouter une couche de confidentialité à ces enregistrements, il est néanmoins ahurissant qu’un tel manque de sécurité soit possible.
Plus inquiétant encore, votre compte Zoom peut ne pas être sécurisé, même si vous n’optez pas pour l’enregistrement de vos conférences. Depuis janvier 2020, des bases de données contenant les noms et mots de passe des comptes Zoom circulent et sont vendues sur le darkweb. Zoom accueillant de plus en plus d’utilisateurs, cette base de données n’a fait que s’agrandir et devenir plus précieuse pour les hackers, ce qui signifie que les nouveaux comptes ont d’autant plus de raisons d’être exposés.
Avec Wildix, ces questions de vie privée sont totalement inexistantes. Wildix ne stocke aucune communication vidéo à des fins de suivi publicitaire – en fait, puisque l’application fonctionne directement de navigateur à navigateur, il est impossible d’intercepter ou de sauvegarder de telles données, même pour les techniciens de Wildix. Les conférences enregistrées sont également privées par défaut, puisqu’elles reçoivent une URL complexe, générée de manière aléatoire et inaccessible depuis le web extérieur.
Là encore, le respect de la vie privée est le défaut automatique intégré à Wildix. Avec Zoom, en revanche, la responsabilité de la protection de la vie privée est une fois de plus entièrement reléguée à l’utilisateur final.
Les préjudices
La société a le mérite d’avoir pris connaissance des failles de son système. Le 1er avril 2020, peu de temps après avoir fait l’objet d’une enquête du procureur général de New York, elle a annoncé qu’elle suspendait les mises à jour des fonctionnalités pendant 90 jours pour se concentrer sur les problèmes de sécurité existants.
Cette annonce a été faite par Eric Yuan, le PDG de la société, qui a présenté ses excuses pour les défauts de sécurité de Zoom, et qui a également expliqué pourquoi le produit a été commercialisé avec de tels défauts. Dans le post, Yuan déclare que le nombre d’utilisateurs actifs sur la plateforme « a largement dépassé » ce que la société s’attendait à héberger, et que Zoom « a été construit principalement pour les clients d’entreprise – de grandes institutions avec un support informatique complet ».
Yuan est certainement honnête, bien que ce soit plus par omission que par admission. Avec tous les problèmes de sécurité qui ont été mis en lumière, il est peut-être approprié de dire que Zoom ne devrait être utilisé qu’en conjonction avec une équipe technique interne – à condition que cette équipe soit suffisamment importante pour consacrer une grande partie de ses heures de travail au maintien du programme.
Bien sûr, l’implication sous-jacente de ce point est tout aussi correcte : pour les petites et moyennes entreprises, et même pour les particuliers, Zoom n’est pas une solution valable et adaptée.
Cette conclusion semble être partagée par les écoles publiques de la ville de New York, qui abandonnent maintenant la plateforme, et par l’auto dénommé « technologue d’intérêt public » Bruce Schneier, et qui a longuement écrit sur les problèmes du logiciel. Le professeur d’informatique de Princeton Arvind Narayanan, quant à lui, qualifie carrément Zoom de « logiciel malveillant ».
S’il y a quelque chose à retenir de ces exemples, c’est que la sécurité doit être intégrée dans les plateformes de communication. Comme une erreur de la part de l’utilisateur est garantie, la sécurité doit toujours être active dans la solution, et non quelque chose que l’on peut allumer ou éteindre par hasard.
Nous avons souvent parlé du fait que la sécurité de la conception fait partie intégrante de la solution Wildix. Avec Wildix, la sécurité n’est pas simplement un paramètre qu’il faut activer à un moment donné ou bien être exposé à des menaces – la sécurité fonctionne automatiquement dès que vous commencez à utiliser la plateforme. Ici, il n’est pas nécessaire de choisir entre le confort et la sécurité, car Wildix vous offre les deux.
En fait, nous avons constaté que rien ne rend une solution aussi peu pratique qu’un manque de sécurité. Comme le montre l’exemple de Zoom, une fois que vous perdez la sécurité, vous en perdez la convivialité.
Après tout, aucune solution n’est moins utilisable qu’une solution qui vous met en danger, vous et votre organisation.
Le rapport de force
| Wildix | Zoom | |
| Vidéoconférences sur invitation uniquement | Activé par défaut | Opt-in |
| Enregistrements téléchargeables | Activé par défaut | Opt-in |
| URLs Conférence | Alphanumérique (plus de combinaisons, plus difficile à deviner) | Numérique uniquement (moins de combinaisons, plus facile à deviner) |
| Désactivation ou mode silence pour les participants à la conférence | Oui | Oui |
| Conférences enregistrées | Privé uniquement | Public ou privé |
| Installation | N/A, utilisé dans le navigateur | Utilise des exploits de pré-installation pour économiser des clics |
| Accès à la webcam et au micro | Uniquement pour l’application Wildix dans le navigateur | Donné à l’application autonome Zoom et à tous les programmes qui y accèdent |