Zoom a tellement de problèmes de sécurité que les institutions déconseillent son usage. Mais la qualité de son expérience utilisateur le rend très compliqué à remplacer.

Après avoir multiplié par 20 son nombre d’utilisateurs à la faveur du confinement et de la généralisation du télétravail, Zoom a été plombé par une succession de problèmes liés à sa sécurité : son flux passait sur des serveurs chinois, certaines données aboutissaient chez Facebook, et plusieurs failles ont été identifiées par des chercheurs. Clou de cette tempête médiatique :  les échanges vidéos ne sont pas chiffrés de bout en bout, contrairement à ce que laissait entendre la communication de l’entreprise. Cela signifie concrètement qu’ils sont visibles sur les serveurs de l’entreprise et donc théoriquement accessibles par des hackers qui parviendraient à s’infiltrer sur le système.

L’entreprise américaine répare petit à petit les problèmes, et a annoncé qu’elle dédierait l’intégralité de ses effectifs au développement des fonctionnalités de sécurité pendant 90 jours. Elle a déjà réglé son problème le plus discuté, le zoombombing, qui permettait à des personnes extérieures de rentrer dans des réunions créées avec les paramètres par défauts.

La mission d’information de l’Assemblée nationale a communiqué via l’application Zoom, le 1er avril. // Source : Capture d’écran Numerama

Mais ces épisodes n’ont pas été sans conséquence : son action a dégringolé de 25 %, et plusieurs organisations ont commencé à déconseiller fortement, voire bannir, son usage. Des entreprises comme Google et SpaceX, mais aussi les législateurs australiens, le gouvernement taiwanais, et plus récemment le Sénat américain.

L’Assemblée nationale cherche des alternatives…

En France, les élus de l’Assemblée nationale et leurs équipes utilisent Zoom pour échanger, et le gouvernement l’utilise également, au moins pour certaines ses réunions publiques. La députée Laure de La Raudière, spécialiste du numérique, a appelé les questeurs de l’Assemblée nationale à faire passer les réunions de travail sous le logiciel Tixeo. Ce service français est déjà utilisé par le Sénat et a aussi été promu au sein du CNRS.

De son côté, la Direction interministérielle du numérique (DINUM) déconseille aux fonctionnaires l’usage de Zoom, qui « ne présente pas de garanties de sécurité et de confidentialité suffisantes pour les usages professionnels au sein des services de l’État. » Elle propose à la place un comparatif de sept outils de  « webconférence » qui présentent «  un niveau minimal de protection des données » et qui hébergent les échanges sur le territoire français ou sur celui de l’Union européenne. Dans son raisonnement, les services de l’État excluent d’entrée Slack, Skype, Google Meets ou encore Microsoft Teams.

La DINUM propose 7 alternatives à Zoom, mais aucune n’atteint les m // Source : DINUM

… mais les performances de Zoom sont difficiles à égaler

Zoom excelle dans plusieurs domaines. D’abord, il permet à 100 personnes de discuter en même temps, avec leurs caméras activées. Webconférence, l’outil du réseau interministériel de l’État est dépassé dès qu’il y a plus de six participants. Scaleway propose aussi des instances de Jitsi, la technologie française open source sur laquelle est construit Webconférence, mais il peine à faire mieux. Whereby peut accueillir 50 personnes… mais seulement 12 avec la vidéo. Bref, la capacité de Zoom à accueillir de grosses réunions est difficile à égaler.

Cédric Foll est directeur des infrastructures et du support informatique de l’Université de Lille. Attentif aux enjeux de sécurité, il essaye depuis le début du confinement des logiciels alternatifs, pour des réunions à 40 personnes, avec caméras activées. « Je n’ai pas trouvé de meilleure solution pour l’instant pour cet usage », regrette-t-il auprès de Numerama, après sept tests.

Au-delà de 10 utilisateurs vidéo, la concurrence se réduit

Il faut dire que logiciel américain brille par sa facilité d’utilisation : en quelques clics vous pouvez y être connecté, et vous n’avez pas forcément besoin de compétence en informatique ni de matériel de haute qualité pour que la réunion se déroule sans accroc. « Zoom est facilement utilisable par des personnes sans compétences techniques, et il marche extrêmement bien même sans micro-casque », constate notre interlocuteur.

Parmi les solutions évoquées, Jitsi, que nous avons testée, convient parfaitement à un usage pour de petits groupes, de moins d’une dizaine de personnes : il est gratuit, français, open source, et plusieurs logiciels en sont déclinés. « Quand il n’y a que peu de flux vidéo et son, la plupart des solutions fonctionnent très bien », rappelle Cédric Foll.

Des concessions sur l’expérience utilisateur pour plus de sécurité

Parmi les alternatives, un nom revient souvent : Tixeo, conseillé par Laure de la Raudière, le CNRS ou encore la Cnil. Ce logiciel français est le seul à disposer d’une certification de l’Agence nationale de la sécurité des systèmes d’information (Anssi), garantie d’un très haut niveau de sécurité. Mais s’il a ses qualités là où Zoom pêche, il n’est pas adapté à tous les publics.

Tous les participants doivent créer un compte (qui nécessite de renseigner son numéro de téléphone), et il faut installer un logiciel relativement lourd. Cette procédure ralentit l’usage, notamment pour des utilisateurs invités extérieurs à l’organisation. Ensuite, Tixeo propose un essai gratuit de 1 mois qui permet des réunions de 10 personnes, mais au-delà, il faut payer. De son côté, Zoom propose une offre gratuite très complète, mais est très loin des standards de sécurité de Tixeo. Le logiciel français pourrait donc convenir aux échanges critiques entre les élus, mais serait plus difficile à mettre en œuvre dans d’autres secteurs de l’administration.

Tixeo pour le confidentiel, Zoom pour le public ?

Il faut donc que chaque organisation utilise la solution la mieux adaptée à son modèle de menace. Si les échanges tenus dans les réunions sont d’un certain niveau de criticité, mieux vaut éviter Zoom : les sénateurs ont raison d’utiliser une solution certifiée par l’Anssi. En revanche, faire appel à Zoom pour, par exemple, une réunion publique retransmise sur les chaînes de télévision en direct n’est pas  un non-sens, car tout ce qui s’y dit est déjà disponible.

Finalement, le secteur de la visioconférence pourrait tirer profit de leur croissance accélérée permise par le confinement. D’un côté les logiciels français sécurisés gagneraient à améliorer leur capacité de charge et leur expérience utilisateur, de l’autre Zoom a besoin d’améliorer ses standards de sécurité. À voir lequel parvient à atteindre son objectif en premier, et à s’imposer, quel que soit l’usage.

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux