Zoom termine un cycle de 90 jours pendant lequel il s’est concentré sur sa sécurité. L’heure de faire un bilan sur les améliorations que le service de visioconférence a proposé.

Le 1er avril 2020, le CEO de Zoom Eric Yuan écrivait un billet de blog attendu, dans lequel il concédait : « Nous reconnaissons que nous n’avons pas répondu aux attentes de la communauté – et aux nôtres – en matière de confidentialité et de sécurité. » La situation de l’entreprise était alors ambivalente. D’un côté, le service de visioconférence était plébiscité par des millions de nouveaux utilisateurs grâce aux confinements. De l’autre, il ne se passait pas une semaine sans que sa mauvaise gestion de la vie privée et de la sécurité des utilisateurs ne soit pointée du doigt. Bref : la sécurité de Zoom n’était pas à la hauteur de son succès.

Pour remédier à la situation, Eric Yuan avait annoncé dans son blog que pendant les 90 jours suivants, toutes les ressources de l’entreprise seraient allouées à l’amélioration de la sécurité et de la protection de la vie privée des utilisateurs.

tripping the rift(1).jpg

Zoom a corrigé un à un ses problèmes de sécurité. // Source : Louise Audry pour Numerama

Trois mois plus tard, l’entreprise fait son bilan sur ce gros coup de communication. Elle se targue d’avoir développé «plus de 100 nouvelles fonctionnalités liées à la sécurité et au respect de la vie privée. » Ce nombre impressionnant rappelle les lacunes des anciennes versions du logiciel, mais met aussi en avant les améliorations concrètes déployées par l’entreprise. Pour parvenir à ce résultat, Zoom a répondu à toutes les critiques qui lui ont été adressées, une par une.

Zoom a corrigé ce qui lui était reproché

Zoom a initié ce nouveau cycle avec le recrutement (en tant que consultant) de l’ancien directeur de la sécurité de Facebook, Alex Stamos, et près d’une dizaine de dirigeants ont été nommés à d’autres postes clés de la sécurité de l’entreprise depuis. Le dirigeant a pu lancer plusieurs chantiers lourds, pratiquement terminés.

  • Le « Zoombombing » placé sous contrôle

En même temps que la popularité de Zoom explose, un phénomène est apparu: le « Zoombombing ». Des individus s’échangeaient les adresses des réunions de visioconférences pour venir les perturber, qu’il s’agisse de cours d’école ou de conférence d’entreprise. Ces canulars ont rapidement tourné à l’incitation à la haine, l’antisémitisme ou encore à la diffusion de contenus pornographiques grâce à la fonctionnalité de partage d’écran. Zoom s’est agacé du nom donné au phénomène, arguant que le problème est inhérent à l’ensemble des logiciels de visioconférence.

Mais c’est bien à ce problème qu’elle s’est attaquée en premier dans le cadre de son plan sur 90 jours. Elle a commencé par changer ses paramètres par défaut pour ses utilisateurs gratuits, puisque toutes les fonctionnalités de sécurité étaient désactivées. Désormais, un mot de passe est créé en même temps que la réunion et il faut le rentrer pour y accéder. L’administrateur doit également autoriser manuellement chaque participant de la réunion, qui est placé dans une salle d’attente en attendant cette validation. L’hôte peut aussi contrôler qui peut effectuer un partage d’écran.

Pour finir Zoom a lancé un outil de signalement afin identifier les perturbateurs les plus récurrents et les exclure. L’entreprise travaille d’ailleurs encore avec les forces de l’ordre pour les sanctionner.

  • Le chiffrement de la vidéo grandement renforcé

Zoom s’était fait sévèrement tacler par le Citizen Lab, un laboratoire de recherche en cybersécurité de référence, sur la qualité de son chiffrement. Parallèlement, le journal The Intercept avait exposé la publicité mensongère de Zoom, qui affirmait à tort sur son site qu’il disposait du chiffrement de bout en bout, un des standards de sécurité des communications les plus élevés.

L’entreprise avait presque immédiatement changé sa méthode de chiffrement, pour une norme plus solide, l’AES 256 GCM. Ensuite, elle a sorti le chéquier pour s’offrir Keybase, début mai. Le dirigeant de cette startup et ses équipes ont été intégrés aux équipes de Zoom, qui leur a confié le développement du chiffrement de bout en bout.

Un mois plus tard, le groupe a annoncé qu’il déploierait prochainement l’option pour chiffrer de bout en bout tous les appels vidéos. Après un cafouillage médiatique, Zoom a déterminé qu’elle offrirait ce standard de sécurité à tous ses utilisateurs, gratuits comme payants.

  • Des ajustements demandés par les utilisateurs 

En parallèle des deux axes d’améliorations majeurs, l’entreprise a effectué plusieurs ajustements. Les utilisateurs peuvent par exemple choisir où sont situés les datacenters par lesquels passent les conversations, après que le Citizen Lab a mis en lumière que certains appels transitaient par la Chine. Elle a aussi créé un onglet de sécurité qui regroupe toutes les fonctionnalités auparavant disséminées dans différents menus, et renforcé son programme de bug bounty.

  • Et maintenant ? 

Dans son communiqué Zoom explique qu’elle ne veut pas « s’arrêter là ». Il lui reste notamment une promesse à remplir : la publication d’un rapport de transparence. Le groupe explique déjà comment il répond aux demandes gouvernementales, mais il n’a pas encore émis ce rapport de référence, qui serait « en préparation.» Ce serait un beau point de conclusion sur une mise à niveau réussi de sa sécurité.

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.