Le confinement généralisé a mis sur le devant de la scène numérique les plateformes de visioconférence. Leur utilisation n'est pourtant pas sans dangers, comme le montrent les déboires de Zoom, l'application qui a connu un succès planétaire fulgurant.
Forcées de prendre leurs distances avec leurs proches ou avec leurs collègues, nombreuses sont les personnes qui ont trouvé dans les logiciels de vidéoconférence d'excellents moyens de conserver les liens, lors des désormais célèbres « apéros vidéo », ou de continuer à travailler. Le plus populaire d'entre eux est sans doute aussi le plus controversé. Il s'agit de Zoom. En quelques semaines, la plateforme est passée de 10 à 200 millions d'utilisateurs journaliers. Les téléchargements ont été multipliés par 40. Son succès est en grande partie dû à sa simplicité d'utilisation – un lien internet permet de se connecter au salon de discussion depuis un ordinateur, une tablette ou un téléphone, sans avoir à installer l'application – et à la possibilité offerte par Zoom d'accueillir jusqu'à 100 intervenants simultanément durant 40 minutes gratuitement. Pour l'anecdote, ce succès a entraîné une ruée sur le titre en bourse qui est passé de 70 à 160 $ en un mois, portant la capitalisation à 70 milliards de dollars. Une société chinoise ayant un nom proche, Zoom Technologies, a vu son titre bondir de 700 % avant que la cotation ne soit suspendue, les investisseurs s'étant trompés d'entreprise !
Des failles de sécurité béantes
La popularité de ce genre d'applications a attisé la convoitise des pirates. L'arrivée massive de nouveaux utilisateurs, au profil un peu moins expert qu'auparavant, a permis aux cybercriminels de multiplier les attaques. De nombreux utilisateurs de Zoom ont été victimes d'intrusions, dans leurs salons de discussions, de personnes malintentionnées, projetant ici des scènes à caractère pornographique, là des vidéos violentes ou racistes. Avant une mise à jour récente, il était en effet très facile pour un pirate de rejoindre une réunion au hasard. Une discussion Zoom est accessible via un lien classique dont seul l'identifiant de fin varie. Il suffit de tester des suites de caractères pour se connecter. Les développeurs ont modifié dans l'urgence les conditions d'accès, rendant obligatoires par défaut les mots de passe et l'acceptation des nouveaux entrants par l'hôte de la réunion. D'autres fonctionnalités de sécurité sont rajoutées à la volée pour éviter les déboires, comme ceux qu'a connus Boris Johnson en personne. Le Premier ministre britannique avait en effet partagé publiquement l'identifiant d'une réunion d'une commission de la défense... immédiatement prise d'assaut par des fauteurs de troubles. L'an passé, Zoom avait également dû corriger une faille permettant à un tiers de prendre contrôle de la webcam d'un utilisateur.
De nombreuses zones d'ombre
Cette légèreté dans le développement n'est pas le seul reproche que l'on peut faire à Zoom. La plateforme a été accusée de transmettre les données personnelles de ses utilisateurs à Facebook sans jamais les prévenir. Face aux preuves irréfutables, l'entreprise a avoué à demi-mot et a déclaré avoir cessé cette pratique fin mars. Pire, malgré un marketing qui laisse penser le contraire, l'application ne chiffre pas réellement les données de bout en bout, les rendant facilement accessibles. Plus d'un demi-million d'identifiants, d'adresses e-mail et de mots de passe ont ainsi fini à la vente sur un forum de hackers. En outre, un traçage des connexions a montré qu'en cas de surcharge de certains nœuds, les appels transitaient par des serveurs chinois… Pour toutes ces raisons, de nombreux services publics américains, notamment scolaires et universitaires, ont rapidement interdit l'utilisation de Zoom. Google avait pris les devants dès le 10 mars en faisant de même. Pour faire face à ce feu continu de critiques, Zoom multiplie les correctifs et s'est dernièrement entouré de plusieurs experts en sécurité réputés, dont Alex Statmos, ancien chef de la cybersécurité chez Facebook.
