Alors que plus de la moitié de la population mondiale est confinée chez elle et que nous sommes pour la plupart seuls dans notre logement, les applications de visioconférence semblent être une solution toute adaptée pour garder un lien d’interaction avec ses proches.

Ces solutions ont vu leur popularité exploser ces derniers jours notamment pour l’application Zoom qui est passée de 200 000 téléchargements journaliers à plus de 2 000 000 entre la période du 7 Mars et du 22 Mars rien que pour la version mobile. Cette dernière a également multiplié par 20 son nombre d’utilisateurs quotidiens passant de 10 à 200 millions.

Ce succès soudain est malheureusement accompagné d’un scandale regroupant un nombre considérable de failles de sécurité. Chiffrement manquant, zoom bombing, fuite de milliers d’enregistrements privés diffusées publiquement et bugs. Décortiquons ensemble les failles de sécurité de l’application.

Accès à votre webcam sur Mac

Un premier bug a été découvert sur la solution MacOS par le chercheur Jonathan Leitschuh. Ce bug permettrait à des utilisateurs malveillants d’activer la webcam de votre Mac sans votre permission. Zoom a même essayé d’étouffer cette affaire en accordant une prime à ce dernier en échange de la signature d’un accord de non-divulgation.

Apple a été obligé de réaliser une mise à jour de son système d’exploitation afin de retirer ce composant défectueux installé par Zoom.

Leak de milliers d’emails et Zoom bombing

Selon un article de Motherboard, Zoom aurait diffusé des milliers d’adresses mails et de photos de ses utilisateurs, permettant à des inconnus de lancer un appel vidéo avec eux grâce à Zoom.

L’application ajouterait automatiquement d’autres personnes aux listes de contacts d’un utilisateur si elles se sont inscrites avec une adresse électronique du même domaine. Cela signifie que si vous disposez d’une adresse mail se terminant par “@nike.com”, des personnes appartenant à la même entreprise que vous pourront vous trouver plus facilement. Le problème vient dans l’utilisation d’adresses personnelles. Zoom aurait regroupé des milliers de personnes comme si elles travaillaient toutes dans la même entreprise, exposant ainsi leurs informations personnelles les uns aux autres.

Ce facteur a grandement favorisé la popularisation du Zoom Bombing qui consiste à se connecter à des réunions qui ne vous sont pas destinées sans même saisir de mot de passe, dans le but de plaisanter ou de nuire à la personne.

Brian Krebs, expert en cybersécurité, aurait découvert les informations de plus 24 000 réunions à venir. Ces informations comprennent la date, l’heure, le nom de l’organisateur, la description et le lien d’accès aux réunions.

Des milliers d’enregistrements en ligne

Comme si cela ne suffisait pas, un autre chercheur en sécurité du nom de Patrick Jackson aurait découvert des milliers d’enregistrements privés Zoom sur un espace de stockage cloud non-sécurisé d’Amazon. Selon le Washington Post, des milliers d’autres enregistrements auraient également été téléchargés sur YouTube et Vimeo.

Zoom a malgré tout essayé de rejeter la faute sur ses utilisateurs en précisant que l’application notifie chaque participant lorsqu’un hôte choisit d’enregistrer une réunion. L’entreprise tient également à préciser qu’elle ne peut être tenue pour responsable du téléchargement et de la diffusion de ces enregistrements.

Pas de chiffrage End-to-End

Zoom dispose d’une option vous permettant de crypter votre réunion de bout en bout (End-to-End). Lorsque vous choisissez cette option, l’ensemble des participants à votre visioconférence voit un cadenas vert indiquant que Zoom utilise une connexion cryptée chiffrant l’audio, la vidéo et le transport de votre visioconférence.

Ce n’est sans compter le dernier rapport de The Intercept, nous démontrant que l’application est pour l’heure incapable d’activer le cryptage E2E (End-to-End). Pour faire simple, la société crypte le transport d’information entre les différents acteurs mais ne crypte pas la vidéo et l’audio. Zoom peut donc continuer d’accéder à l’ensemble de vos enregistrements malgré le choix de cryptage de bout-en-bout.

La cerise sur le gâteau

Si cela ne suffisait pas, une partie du code de Zoom permettait d’envoyer des informations vous concernant à Facebook que vous disposiez d’un compte ou non. Ce sont des milliers d’informations telles que vos données de connexion, l’opérateur téléphonique utilisé, ou encore le modèle de votre appareil qui ont été transmises à Facebook sans accord préalable de votre part.

Preuve une fois encore du peu d’intérêt de Zoom pour la gestion de la vie privée de ses utilisateurs.

Vers un retour à la normale ?

Même si Zoom a réalisé un grand nombre de correctifs ces derniers jours, un retour à la normale semble difficile au vu du nombre de scandales générés par l’entreprise en l’espace de quelques jours. De plus, un nombre croissant d’enquêtes ont été ouvertes contre la société californienne, dont une qui a été ouverte par le Procureur Général de New York.

En tout cas une chose est sûre si vous utilisez actuellement Zoom, nous vous invitons grandement à vous tourner vers d’autres solutions telles que Facetime pour les utilisateurs iOS ou bien WhatsApp qui ont le mérite, même si elles ont également des défauts, d’offrir un cryptage complet de vos conversations.

Skype n’est finalement pas si mal…