Avec la ruée sur le télétravail et les applications de visioconférence, les risques sécuritaires ont été décuplés. Et ils ne sont pas seulement le fait de hackers, mais aussi des failles, parfois de la mauvaise fois, de fournisseurs indélicats de ces services.
Depuis le début du confinement, l’utilisation des outils de réunion à distance (visioconférence, audioconférence et webconférence) a connu une progression fulgurante. Les entreprises et les indépendants se sont rués sur ces applications permettant de se réunir et d’échanger à distance. Il n’a pas fallu attendre longtemps pour que les premiers comptes rendus d’attaques et de vulnérabilités soient publiés.
Ces rapports sont d’autant plus préoccupants que les réunions d’urgence des conseils d’administration, des décideurs et des équipes chargées du SI et de la sécurité doivent être légions en ce moment, pour parer aux besoins des télétravailleurs confinés et assurer la continuité de l’activité. Autant dire qu’une personne non autorisée, pouvant se connecter subrepticement aux réunions, aurait accès à des informations stratégiques et sécuritaires de première main.
Ces derniers jours, c’est Zoom qui s’est retrouvé dans l’œil du cyclone. Son exemple est emblématique d’un mélange de naïveté concernant la sécurité de ses outils de réunion et de mauvaise foi concernant ses mesures pour sécuriser les échanges et la protection des données des utilisateurs.
Pris la main dans le sac à plusieurs reprises
La plateforme de communications unifiées a connu un succès fulgurant bien avant la crise, grâce à son interopérabilité, car elle fonctionne sur tous types de terminaux. Zoom permet d’organiser des réunions vidéo, des conférences vocales, des webinaires et des discussions sur les ordinateurs de bureau, les téléphones et les appareils mobiles, et les systèmes des salles de conférence. Zoom est utilisé dans les salles de conseil, de conférence, de réunion et de formation, ainsi que dans les bureaux de direction.
En juillet dernier, bien avant la pandémie donc, l’éditeur d’outils de cybersécurité CheckPoint avisait Zoom d’une faiblesse dans la génération de ses identifiants de réunion, composés d’une suite aléatoire de 9, 10 ou 11 chiffres. Si l’organisateur de la réunion n’avait pas activé l’option « Exiger le mot de passe de la réunion » ou activé la salle d’attente, qui activent l’admission manuelle des participants, ces identifiants numériques étaient le seul mécanisme qui sécurisait la réunion. Visiblement, ils n’étaient pas assez sécurisés, car les chercheurs de CheckPoint ont été capables de prédire environ 4 % des identifiants, avant même qu’ils soient attribués.
Mépris de la vie privée et des utilisateurs
Prévenu, Zoom a rapidement réglé ce problème de connexion aux réunions, mais cela n’a pas été suffisant. Dans un article datant du 2 avril dernier, nos confrères de Bloomberg ont révélé que des trolls « se sont faufilés dans les réunions sur le web et les ont perturbées par des blasphèmes et de la pornographie, pendant au moins la majeure partie du mois dernier [mars dernier NDLR] ». Ces pratiques intrusives ont été popularisées sous le nom de « zoombombing ». Les failles qui ont permis à ces trolls de s’introduire dans les réunions n’avaient pas été corrigées. Pourtant Zoom avait assuré que les échanges via sa plateforme étaient chiffrés de bout en bout.
Apparemment pas, puis que la plateforme dans un billet sur son blog, datant du 1er avril dernier, présentait ses excuses, en reconnaissant que l’usage du terme « chiffrement de bout en bout » était abusif : « … nous souhaitons tout d’abord nous excuser pour la confusion que nous avons causée en suggérant à tort que les réunions de Zoom étaient capables d’utiliser un cryptage de bout en bout », s’excusait-elle.
Il n’y a pas de vie privée sur Internet
Autres tuiles et non des moindres, Zoom s’est vu accuser, à juste titre puisqu’il a reconnu là aussi, de divulguer les informations de ses utilisateurs à Facebook, l’un des plus grands siphonneurs de données personnelles de ce côté de la galaxie. Le New York Times l’accuse par ailleurs de permettre à des participants d’accéder, subrepticement et pendant les réunions, aux données du profil LinkedIn d’autres participants, sans que Zoom ne daigne « leur demander leur permission ou ne les informe même que quelqu’un d’autre les espionnait ». Ceci sans compter les outils de datamining utilisés par Zoom pour enrichir son offre et qui sont effectués sur les données de ses abonnés sans leur permission. L’entreprise a reçu à la suite de cet article une injonction du procureur de New York pour s’expliquer.
L’exemple de Zoom est emblématique d’une entreprise qui surfe sur le succès et profite de la popularité de son service pour générer des revenus en faisant feu de tout bois, y compris la mise à disposition des informations personnelles (identité, coordonnées et adresses mail) de ses utilisateurs. Des pratiques condamnables et contraires aux lois qui l’obligent à demander ou au moins prévenir ses utilisateurs de ce qu’ils font avec leurs données. Avec de telles pratiques, la méfiance des utilisateurs ne fera que s’exacerber, car en définitive, il n’y a pas de vie privée sur Internet. Tout ce que vous y mettez sera un jour ou l’autre partagé et monétisé, la tentation est trop grande.