Le fournisseur de services de vidéocommunication Zoom profite largement des politiques de confinement dans de nombreux pays pour tenter d’endiguer la pandémie de la maladie à coronavirus COVID-19, et du télétravail qui se généralise.

Alors que l’entreprise californienne affirme que les communications sont chiffrées de bout en bout, ce qui les protégerait des oreilles de toute personne indiscrète, du moment qu’elles sont effectuées à partir d’un ordinateur, et non d’un téléphone, il n’en est rien d’après notre confrère The Intercept.

En fait, Zoom ne chiffre que le transport : de l’appelant à Zoom, et de Zoom à l’appelé. Ainsi, Zoom peut accéder à toute conversation et toute réunion en ligne.

Or, un chiffrement de bout en bout, comme son nom l’indique, est le chiffrement de la communication de l’appelant à l’appelé, et aucune autre personne ou organisation ne peut espionner cette communication.

Du reste, le chiffrement de bout en bout est naturellement difficile quand il s’agit d’une vidéoconférence de groupe, car le seul moyen d’optimiser les flux est de savoir qui est en train de parler afin de n’envoyer en haute définition que le flux vidéo de cette personne, et de n’envoyer que des flux basse résolution des autres participant. Mais cette optimisation est bien plus facile à effectuer si le fournisseur de service dispose d’un accès en clair aux flux.

Dans ces conditions, Zoom peut espionner les conversations de ses clients. Les gouvernements et les forces de l’ordre de nombreux pays peuvent légalement exiger de recevoir des copies des enregistrements d’une réunion en ligne.

C’est pourquoi le procureur général de l’État de New York, Letitia James, a envoyé une lettre à l’entreprise pour lui demander si elle prenait des mesures pour se défendre des pirates alors que le trafic sur ses réseaux explose, et constaté que l’entreprise était bien lente pour s’intéresser aux vulnérabilités de sécurités qui permettraient notamment à des personnes malveillantes de prendre le contrôle des webcams d’utilisateurs.

Le FBI a même publié une alerte pour informer qu’il avait reçu de nombreux rapports des quatre coins du pays sur des conférences piratées, et perturbées par des messages, des images ou des vidéos pornographiques, d’incitation à la haine et de menaces.

Le FBI fournit des conseils pour limiter les risques, tels que conserver une conférence privée, ne distribuer le lien qu’aux personnes qui doivent y accéder, etc.

C’est d’autant plus important que des écoles ont adopté Zoom comme solution d’enseignement à distance.

Zoom a mis à jour sa politique de confidentialité dimanche, et son directeur affirme que ses équipes font tout ce qu’elles peuvent pour assurer les connexions des hôpitaux, des universités, des écoles et des entreprises.

Toutefois, la semaine dernière, un article de Motherboard a prouvé que l’application Zoom pour iPhone envoyait des données personnelles à Facebook…

Une pratique qui, en Europe, est en directe contravention du Règlement Général sur la Protection des Données (RGPD).

Le procureur général exige également des informations sur la politique de confidentialité de Zoom, et notamment avec qui elle partage les données personnelles de ses utilisateurs, quels types d’informations, et dans quels buts.

Car même aux États-Unis où les données personnelles sont moins bien protégées qu’en Europe, il existe de nombreuses régulations d’États pour protéger les données personnelles des étudiants et des écoliers.