Zoom : le service de vidéoconférence sous le feu des critiques pour son manque de sécurité

 

Le service de vidéoconférence Zoom est critiqué pour son manque de clarté dans sa communication, mais également pour différentes failles de sécurité et des atteintes à la confidentialité de ses utilisateurs.

Failles de sécurité sur Zoom

Le service Zoom est sujet de failles de sécurité diverses et variées

Depuis quelques semaines, les services de vidéoconférence ont la côte. Parmi les plus plébiscités, on peut bien évidemment citer Slack, Microsoft Teams ou Google Hangouts Meet. Mais le confinement et le télétravail qui en résulte sont également l’occasion pour des acteurs indépendants de se démarquer. C’est notamment le cas de Zoom.

Désormais sous le feu des projecteurs par la force des choses, l’entreprise américaine a cependant fait l’objet de plusieurs controverses ces derniers jours. Il faut dire que le service se targue d’utiliser du chiffrement de bout en bout. En d’autres termes, seules les personnes qui participent à l’appel peuvent voir la conversation vidéo qui a lieu. Néanmoins, le site The Intercept a analysé le service et explique que ce n’est pas le cas : « le service ne supporte pas le chiffrement de bout en bout pour les contenus audio et vidéo, du moins comme le terme est communément compris. Il propose à la place ce qu’on appelle généralement du chiffrement de transport ».

Le système de chiffrement utilisé par bout fonctionne donc par TLS, le même système que sur les pages Web sécurisées. Une différence de taille avec le chiffrement de bout-en-bout, puisque si, dans les deux cas, les données restent chiffrées pour des personnes connectées au même réseau, ce n’est pas le cas pour le service. En effet, dans un système de TLS, le serveur — ici, le service Zoom — a lui bien accès aux données échangées. Ce n’est pas le cas pour un service comme WhatsApp, qui utilise du chiffrement de bout en bout, et ne peut donc pas lire les conversations en clair.

Des failles de sécurité et de confidentialité

Outre la communication jugée trompeuse de Zoom, le service a également fait l’objet d’une attaque informatique. Comme le rapporte le site Bleeping Computer, Zoom permet d’envoyer des liens vers un fichier ou un dossier avec le chemin de l’explorateur Windows. Or, ce lien envoie également l’identifiant de l’utilisateur ainsi que le mot de passe haché de sa session. Un mot de passe qui peut être facilement retrouvé par la suite avec certains logiciels. Par la suite, ces données peuvent potentiellement être utilisées pour accéder à un ordinateur à distance et récupérer les données qui y sont hébergées.

Une autre faille de sécurité de Zoom a également été mise en avant par le site Motherboard. Le site a en effet mis en relation des centaines de personnes avec des adresses mail utilisant le même service comme si elles travaillaient dans la même entreprise. Il s’agit cependant d’adresses génériques, fournies par exemple par un fournisseur d’accès à Internet, et non pas celui d’une entreprise. Une mise en relation qui a pu permettre de découvrir non seulement le nom et la photo de profil de ces utilisateurs, mais également leurs adresses email. Interrogé à ce sujet, Zoom explique : « Zoom maintient une liste noire des domaines et y ajoute régulièrement des domaines ».

Les derniers articles