Zoom termine un cycle de 90 jours pendant lequel il s'est concentré sur sa sécurité. L'heure de faire un bilan sur les améliorations que le service de visioconférence a proposé.

Le 1er avril 2020, le CEO de Zoom Eric Yuan écrivait un billet de blog attendu, dans lequel il concédait : « Nous reconnaissons que nous n’avons pas répondu aux attentes de la communauté – et aux nôtres – en matière de confidentialité et de sécurité. » La situation de l’entreprise était alors ambivalente. D’un côté, le service de visioconférence était plébiscité par des millions de nouveaux utilisateurs grâce aux confinements. De l’autre, il ne se passait pas une semaine sans que sa mauvaise gestion de la vie privée et de la sécurité des utilisateurs ne soit pointée du doigt. Bref : la sécurité de Zoom n’était pas à la hauteur de son succès.

Pour remédier à la situation, Eric Yuan avait annoncé dans son blog que pendant les 90 jours suivants, toutes les ressources de l’entreprise seraient allouées à l’amélioration de la sécurité et de la protection de la vie privée des utilisateurs.

Zoom a corrigé un à un ses problèmes de sécurité. // Source : Louise Audry pour Numerama

Trois mois plus tard, l’entreprise fait son bilan sur ce gros coup de communication. Elle se targue d’avoir développé « plus de 100 nouvelles fonctionnalités liées à la sécurité et au respect de la vie privée. » Ce nombre impressionnant rappelle les lacunes des anciennes versions du logiciel, mais met aussi en avant les améliorations concrètes déployées par l’entreprise. Pour parvenir à ce résultat, Zoom a répondu à toutes les critiques qui lui ont été adressées, une par une.

Zoom a corrigé ce qui lui était reproché

Zoom a initié ce nouveau cycle avec le recrutement (en tant que consultant) de l’ancien directeur de la sécurité de Facebook, Alex Stamos, et près d’une dizaine de dirigeants ont été nommés à d’autres postes clés de la sécurité de l’entreprise depuis. Le dirigeant a pu lancer plusieurs chantiers lourds, pratiquement terminés.

  • Le « Zoombombing » placé sous contrôle

En même temps que la popularité de Zoom explose, un phénomène est apparu : le « Zoombombing ». Des individus s’échangeaient les adresses des réunions de visioconférences pour venir les perturber, qu’il s’agisse de cours d’école ou de conférence d’entreprise. Ces canulars ont rapidement tourné à l’incitation à la haine, l’antisémitisme ou encore à la diffusion de contenus pornographiques grâce à la fonctionnalité de partage d’écran. Zoom s’est agacé du nom donné au phénomène, arguant que le problème est inhérent à l’ensemble des logiciels de visioconférence.

Mais c’est bien à ce problème qu’elle s’est attaquée en premier dans le cadre de son plan sur 90 jours. Elle a commencé par changer ses paramètres par défaut pour ses utilisateurs gratuits, puisque toutes les fonctionnalités de sécurité étaient désactivées. Désormais, un mot de passe est créé en même temps que la réunion et il faut le rentrer pour y accéder. L’administrateur doit également autoriser manuellement chaque participant de la réunion, qui est placé dans une salle d’attente en attendant cette validation. L’hôte peut aussi contrôler qui peut effectuer un partage d’écran.

Pour finir Zoom a lancé un outil de signalement afin identifier les perturbateurs les plus récurrents et les exclure. L’entreprise travaille d’ailleurs encore avec les forces de l’ordre pour les sanctionner.

  • Le chiffrement de la vidéo grandement renforcé

Zoom s’était fait sévèrement tacler par le Citizen Lab, un laboratoire de recherche en cybersécurité de référence, sur la qualité de son chiffrement. Parallèlement, le journal The Intercept avait exposé la publicité mensongère de Zoom, qui affirmait à tort sur son site qu’il disposait du chiffrement de bout en bout, un des standards de sécurité des communications les plus élevés.

L’entreprise avait presque immédiatement changé sa méthode de chiffrement, pour une norme plus solide, l’AES 256 GCM. Ensuite, elle a sorti le chéquier pour s’offrir Keybase, début mai. Le dirigeant de cette startup et ses équipes ont été intégrés aux équipes de Zoom, qui leur a confié le développement du chiffrement de bout en bout.

Un mois plus tard, le groupe a annoncé qu’il déploierait prochainement l’option pour chiffrer de bout en bout tous les appels vidéos. Après un cafouillage médiatique, Zoom a déterminé qu’elle offrirait ce standard de sécurité à tous ses utilisateurs, gratuits comme payants.

  • Des ajustements demandés par les utilisateurs 

En parallèle des deux axes d’améliorations majeurs, l’entreprise a effectué plusieurs ajustements. Les utilisateurs peuvent par exemple choisir où sont situés les datacenters par lesquels passent les conversations, après que le Citizen Lab a mis en lumière que certains appels transitaient par la Chine. Elle a aussi créé un onglet de sécurité qui regroupe toutes les fonctionnalités auparavant disséminées dans différents menus, et renforcé son programme de bug bounty.

  • Et maintenant ? 

Dans son communiqué Zoom explique qu’elle ne veut pas « s’arrêter là ». Il lui reste notamment une promesse à remplir : la publication d’un rapport de transparence. Le groupe explique déjà comment il répond aux demandes gouvernementales, mais il n’a pas encore émis ce rapport de référence, qui serait « en préparation. » Ce serait un beau point de conclusion sur une mise à niveau réussi de sa sécurité.

Crédit photo de la une : Louise Audry pour Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux