Zoom était une entreprise prospère et bien connue même avant la pandémie, mais
aujourd'hui, elle est devenue un nom familier. Le lieu de travail est passé au
numérique et les entreprises et les établissements d'enseignement cherchent à
assurer la continuité de leurs activités grâce aux canaux numériques. Cette
continuité d'activité ne peut être assurée que si les entreprises maintiennent leurs
canaux de communication et que les équipes se coordonnent via ces canaux. Avant la
pandémie, la demande pour de telles solutions de communication était stable, mais
après le début de la pandémie et le début du travail à distance, cette demande a
explosé. Grâce à sa plateforme simple d'utilisation, Zoom a su capitaliser sur la
demande et s'est rapidement imposé comme un leader du marché. Les chiffres sont
ahurissants. Au cours du mois dernier, la base d'utilisateurs de Zoom est passée de
10 millions d'utilisateurs quotidiens à 300 millions d'utilisateurs.
Cependant, avec son ascension rapide, Zoom devient également une cible très visible
pour les pirates et les trolls ; les utilisateurs ont commencé à signaler des
perturbations fréquentes et les cas de violations augmentent chaque jour. Les gens
sont gravement préoccupés par les mesures de sécurité appliquées par Zoom et de
grands noms comme Elon Musk et même la Nasa ont interdit Zoom à leurs employés.
Comme toute plate-forme logicielle, Zoom utilise les informations d'identification
personnelles/professionnelles de sa base d'utilisateurs pour fonctionner et une
plate-forme ne peut pas permettre que l'identité de ses utilisateurs soit
compromise. Il y a quelques années, des pirates ont utilisé un cookie falsifié pour
violer 32 millions de comptes Yahoo, ce qui a gravement terni la réputation de Yahoo
et entraîné plusieurs implications financières.
Sur certains comptes, les inquiétudes concernant Zoom dépassent le simple vol
d'identité ; il a des serveurs en Chine et conformément à la réglementation, il est
obligé de partager des données avec les gouvernements chinois. Les utilisateurs, les
entreprises et même les gouvernements sont concernés non seulement par l'aspect vie
privée mais aussi par les pratiques éthiques de Zoom.
Examinons une à une certaines de ces préoccupations.
1) Zoom divulgue vos informations personnelles à Facebook.
Zoom utilise le kit de développement logiciel (SDK) Facebook sur les plates-formes
Apple et les critiques craignent que les applications iOS de Zoom envoient vos
données personnelles à Facebook. C'est également vrai pour les utilisateurs iOS qui
n'ont même pas de compte Facebook !
Depuis que cette nouvelle a éclaté, Zoom a agi avec sérieux en retirant le SDK
Facebook de son application iOS pour les plates-formes Apple et en supprimant la
fonctionnalité "Connexion avec Facebook".
2) Les appels et les conférences de Zoom sont sujets à l'écoute clandestine
Les journalistes techniques du magazine The Intercept ont rapporté que malgré ses
affirmations, les réunions de Zoom ne sont pas cryptées de bout en bout. Après
d'autres enquêtes, il est devenu clair que Zoom n'applique pas réellement le
cryptage de bout en bout dans les vidéoconférences. Il en va de même pour le
blindage cryptographique qui est quasi inexistant dans Zoom. Cela rend les
conférences Zoom assez vulnérables aux attaques externes.
Le cryptage proposé par Zoom est comparable à E2E mais ce n'est pas un vrai E2E. La
caractéristique standard d'E2E est que personne, à l'exception des parties
concernées de la conférence, ne serait en mesure de révéler le contenu de la
conférence. Il n'en va pas de même avec le type de sécurité fourni par Zoom.
Néanmoins, la sécurité de Zoom n'est pas inférieure aux normes. Par exemple, votre
FAI n'est pas visible pour les personnes de votre réseau local et vous obtenez
autant de sécurité qu'une interaction HTTPS. C'est plus que satisfaisant, mais
compte tenu de l'échelle, de la portée et de la sensibilité en matière de
confidentialité et de sécurité, Zoom devrait introduire des méthodes de cryptage de
bout en bout robustes pour sa fonction de vidéoconférence.
3) Zoom peut exposer vos mots de passe Windows.
Zoom a des problèmes de rendu de chemin UNC (Universal naming convention) clairs. Il
a été signalé que les discussions Zoom transformaient les chemins UNC en liens
cliquables sur les clients Windows. Si un utilisateur crédule clique sur ce lien,
ses informations d'identification Windows (y compris le hachage des informations
d'identification NTLM, qui n'est rien d'autre qu'une version déchiffrable d'un mot
de passe) sont envoyées vers un site fourni par le pirate informatique. De cette
façon, les attaquants peuvent voler votre nom d'utilisateur et votre mot de passe
Windows.
4) Zoom incite les utilisateurs à l'installer.
Il est rapporté que Zoom manipule les scripts préinstallés macOS d'Apple dans les
fichiers pkg plats OSX et incite les utilisateurs à installer l'application Zoom. Le
PDG de Zoom, Eric Yuan, a reconnu la faille sur Twitter et a indiqué que Zoom
travaillait sur un correctif.
5) Zoom peut être utilisé par des attaquants pour installer des logiciels malveillants
Les attaquants peuvent tirer parti de l'architecture logicielle de Zoom en exploitant
deux privilèges locaux. La première est la technique de pré-installation du malware
que l'attaquant attaque en tant que root ; tandis que l'autre utilise la validation
de la bibliothèque locale de Zoom pour remplacer les fonctions de la bibliothèque et
obtenir les autorisations du micro et de la webcam sans même obtenir l'autorisation
de l'utilisateur.
Zoom a agi sur le problème et a publié une mise à jour qui a apparemment résolu le
problème.
6) Cryptage de Zoom et accès chinois aux données de Zoom.
La capacité de cryptage de Zoom a fait l'objet de beaucoup d'examens minutieux. Il
est rapporté que Zoom utilise la norme de cryptage avancé ou AES en mode livre de
codes électronique. Il ne s'agit pas d'un cryptage conseillé pour la visioconférence
et, par conséquent, le cryptage est plus facile à deviner.
Cependant, la plus grande préoccupation de Zoom est le fait que ses serveurs sont
situés en Chine et que la Chine peut imposer une surveillance et forcer Zoom à
partager les données personnelles de ses utilisateurs. C'est la raison pour laquelle
les gouvernements du monde entier imposent une interdiction de Zoom à leurs employés
et conseillent aux citoyens de rester à l'écart de l'application.
Les plus grands rivaux de Zoom viennent pour le tuer.
Zoom a fait l'actualité à la fois pour ses succès et ses cauchemars. Cela a incité
les géants de la technologie à capitaliser sur cette énorme opportunité et ils
investissent massivement dans cet espace. Explorons les principaux ci-dessous :
1) Facebook
Facebook a récemment étendu ses fonctionnalités de visioconférence pour ses
différentes applications. Cela inclut Facebook Messenger qui autorise désormais
jusqu'à 50 personnes sur les appels vidéo de groupe, les appels vidéo WhatsApp
jusqu'à 8 personnes et les rencontres Facebook qui peuvent désormais prendre en
charge jusqu'à 8 personnes sur les appels vidéo. Cela montre clairement une forte
intention de la part de Facebook de capitaliser sur le marché lucratif de la
visioconférence.
2) Google
Google a maintenant rendu son application de chat vidéo, Meet disponible sur Gmail.
Il s'agit clairement d'élargir ses utilisateurs de visioconférence en puisant dans
son énorme base d'utilisateurs Gmail.
3) Cisco
Cisco est occupé à promouvoir son service de téléconférence Webex comme une
alternative supérieure et sécurisée à Zoom. Cisco comprend que la sécurité est une
chose que son USP et son marketing intelligent peuvent attirer de nombreux clients
de Zoom vers sa plate-forme.
4) Verizon
Verizon, qui possède également Yahoo, a récemment acheté BlueJeans Network, un
service de vidéoconférence. Il n'est pas exagéré de penser que Verizon propose une
intégration entre Yahoo et BlueJeans .
Plus tôt dans le blog, nous avons signalé que Zoom avait enregistré une augmentation
de 740% de sa base d'utilisateurs en seulement 1 mois. Facebook, Google et d'autres
veulent une part de ce succès et ils affinent leurs offres pour gagner une plus
grande part de marché.
Le verdict
Malgré ses défauts, Zoom n'est pas la pire des applications et il a été assez humble
pour accepter ses défauts et publier les correctifs appropriés à ces nombreux
problèmes. Cependant, en tant qu'utilisateurs, nous avons parfaitement le droit
d'exiger une meilleure transparence, un cryptage et une sécurité de Zoom. Dans les
prochains jours, nous pouvons nous attendre à ce que Zoom évolue et offre à sa large
base d'utilisateurs de meilleurs services et fonctionnalités. S'il n'évolue pas, il
sera bientôt anéanti par ses rivaux.