Zoom, le service de visioconférence qui a vu sa cote de popularité explosée avec la pandémie du Covid-19, fait face à de nouvelles allégations en matière de sécurité. Dans une plainte ce 9 novembre, la FTC (Federal Trade Commission) a accusé la société d'avoir trompé les utilisateurs sur le niveau de sécurité de la plateforme de réunion Zoom et a également injustement sapé une fonction de sécurité du navigateur Safari d'Apple. Zoom avait annoncé mi-octobre qu'il allait commencer à proposer le chiffrement de bout en bout sous forme de Technical Preview.Zoom est l’un des grands bénéficiaires de cette pandémie : il a connu une hausse de son utilisation, en passant de 10 millions en décembre 2019 à 300 millions d'utilisateurs actifs par jour en avril 2020. Le revers de la médaille a été une attention particulière portée à l’application, notamment par les experts en sécurité et les régulateurs, dont la FTC. Ainsi, dès le mois de mars 2020, des bogues ont été relevés dans l'application et il a aussi été découvert que les réunions Zoom ne supportaient pas le chiffrement de bout en bout, ce qui donne la possibilité à l'entreprise d'espionner les réunions vidéo privées.
Zoom maintient les utilisateurs dans une marre de mensonge depuis 2016
« Depuis au moins 2016, Zoom a induit les utilisateurs en erreur en prétendant qu'il offrait "un chiffrement de bout en bout à 256 bits" pour sécuriser les communications des utilisateurs, alors qu'en fait il offrait un niveau de sécurité inférieur », a déclaré lundi la FTC dans l'annonce de sa plainte contre Zoom et de l'accord de principe. « Zoom a, en réalité, conservé les clés de chiffrement qui pouvaient lui permettre d'accéder au contenu des réunions de ses clients, et a sécurisé ses réunions Zoom, en partie, avec un niveau de cryptage inférieur à celui promis », a ajouté le régulateur.
Selon la plainte de la FTC, l'entreprise s'est jouée des utilisateurs de sa plateforme, pourtant importante pour leurs activités, alors qu'elle avait la possibilité et les moyens techniques pour mettre en place une sécurité à l'épreuve des espions. En outre, la FTC estime que les affirmations trompeuses de Zoom ont donné aux utilisateurs un faux sentiment de sécurité, en particulier pour ceux qui ont utilisé la plateforme de l'entreprise pour discuter de sujets sensibles, tels que la santé et les informations financières, pour ne citer que ceux-là.
Par exemple, Zoom a affirmé offrir un chiffrement de bout en bout dans ses guides de conformité à la HIPAA (Health Insurance Portability and Accountability Act) de juin 2016 et juillet 2017, qui étaient destinés aux utilisateurs du service de vidéoconférence dans le secteur de la santé. Dans de nombreux articles de blogue, Zoom a spécifiquement fait valoir son niveau de chiffrement comme une raison pour les clients et les clients potentiels d'utiliser les services de vidéoconférence de Zoom. Cela dit, dans tous les cas, il s'agit de déclarations trompeuses.
La plainte souligne aussi que Zoom a affirmé qu'il offrait un chiffrement de bout en bout dans un livre blanc de janvier 2019, dans un article de blog d'avril 2017 et dans des réponses directes aux demandes de clients et de clients potentiels. Toujours selon la plainte de la FTC, Zoom a également induit en erreur certains utilisateurs qui voulaient stocker des réunions enregistrées sur le stockage en ligne de l'entreprise en prétendant à tort que ces réunions étaient chiffrées immédiatement après la fin de la réunion.
Cependant, au lieu de cela, certains enregistrements auraient été stockés de façon non chiffrée pendant 60 jours sur les serveurs de Zoom avant d'être transférés sur son stockage en ligne sécurisé. Pour régler ces allégations, Zoom a accepté l'obligation d'établir et de mettre en œuvre un programme de sécurité complet, l'interdiction de toute fausse déclaration sur la vie privée et la sécurité, et d'autres mesures détaillées et spécifiques pour protéger sa base d'utilisateurs. Par exemple, Zoom doit :
- évaluer et documenter annuellement tout risque potentiel de sécurité interne et externe et développer des moyens de protection contre de tels risques ;
- mettre en œuvre un programme de gestion des vulnérabilités ;
- déployer des mesures de protection telles que l'authentification à plusieurs facteurs pour se prémunir contre l'accès non autorisé à son réseau ;
- instituer des contrôles de suppression des données ;
- prendre des mesures pour empêcher l'utilisation d'identifiants d'utilisateur connus comme étant compromis.
En outre, le personnel de Zoom devra examiner toute mise à jour du logiciel pour détecter les failles de sécurité et s'assurer que les mises à jour n'entraveront pas les fonctions de sécurité de tiers. Par ailleurs, la résolution n'a pas de volet financier, mais le régulateur a déclaré que Zoom serait confrontée à des amendes pouvant aller jusqu'à 43 280 dollars pour chaque violation future de l'accord. En outre, l'action de la société, qui a fortement augmenté cette année, a chuté de plus de 13 % ce lundi en raison de la plainte de la FTC, pour atteindre 433 dollars.
La plainte et le règlement de la FTC couvrent également le déploiement controversé par Zoom du serveur Web ZoomOpener qui a contourné les protocoles de sécurité d'Apple sur les ordinateurs Mac. « Le serveur Web ZoomOpener a permis à Zoom de se lancer automatiquement et de joindre un utilisateur à une réunion en contournant la protection du navigateur Safari d'Apple qui protégeait les utilisateurs contre un type de logiciel malveillant courant », a déclaré la FTC. En effet, Zoom a "secrètement installé" le logiciel dans le cadre d'une mise à jour de Zoom pour Mac en juillet 2018.
Lorsqu'il a été découvert en juillet 2019, Apple a immédiatement publié une mise à jour pour supprimer le serveur des ordinateurs des victimes. « Sans le serveur ZoomOpener Web, le navigateur Safari aurait fourni aux utilisateurs une boîte d'avertissement, avant le lancement de l'application Zoom, qui demandait aux utilisateurs s'ils voulaient lancer l'application ». Selon le régulateur, le logiciel augmentait le risque de surveillance vidéo à distance par des étrangers et restait sur les ordinateurs des utilisateurs même après qu'ils ont supprimé l'application Zoom.
Une autre manœuvre que la FTC trouve plus inquiétante est le fait que le serveur Web ZoomOpener réinstallait automatiquement l'application Zoom, sans aucune action de l'utilisateur, dans certaines circonstances.
Les termes de l'accord avec Zoom divisent les représentants de la FTC
L'accord est soutenu par la majorité républicaine de la FTC (3 voix contre 2), mais les démocrates de la commission se sont opposés parce que l'accord ne prévoit pas de compensation pour les utilisateurs. « Aujourd'hui, la FTC a voté pour proposer un règlement avec Zoom qui suit une formule malheureuse de la FTC », a déclaré le commissaire démocrate de la FTC, Rohit Chopra. « L'accord ne prévoit aucune aide pour les utilisateurs concernés. Il ne fait rien pour les petites entreprises qui se sont appuyées sur les revendications de Zoom en matière de protection des données. Et il n'oblige pas Zoom à payer un centime. La Commission doit changer de cap ».
En effet, l'accord n'oblige pas Zoom à offrir des réparations, des remboursements, ni même d'avertir ses clients que les affirmations matérielles concernant la sécurité de ses services étaient fausses. « Cet échec de l'accord proposé ne rend pas service aux clients de Zoom et limite considérablement la valeur dissuasive de l'affaire. Bien que le règlement impose des obligations de sécurité, il n'inclut aucune exigence qui protège directement la vie privée des utilisateurs », a déclaré la commissaire démocrate Rebecca Kelly Slaughter.
De même, les termes de l'accord n'ordonnent pas clairement à Zoom de mettre en place un chiffrement de bout en bout pour les réunions sur sa plateforme. Toutefois, rappelons-le, Zoom a annoncé le mois dernier qu'il déployait un chiffrement de bout en bout dans un aperçu technique afin de recueillir les réactions des utilisateurs. Enfin, la proposition de règlement est soumise aux commentaires du public pendant 30 jours, après quoi la FTC votera pour la rendre définitive ou non. La période de consultation de 30 jours commencera dès que le règlement sera publié dans le registre fédéral.
L'entreprise devra également faire évaluer son programme de sécurité par des tiers une fois que le règlement sera finalisé et, par la suite, tous les deux ans. Zoom est soumis à cette obligation pendant les vingt prochaines années.
Sources : FTC, Plainte de la FTC (PDF)
Et vous ?
Quel est votre avis sur le sujet ?Voir aussi
Les réunions sur Zoom ne supportent pas le chiffrement de bout en bout, Zoom a donc la capacité technique d'espionner les réunions vidéo privées Zoom annonce qu'il va proposer le chiffrement de bout en bout sous forme de Technical Preview la semaine prochaine pour les clients de la version gratuite et payante Zoom publie ses résultats trimestriels. Son chiffre d'affaires passe de 145 à 663 millions de dollars et le nombre d'entreprises de plus de 10 employés clientes de Zoom a été multiplié par cinq 
Envoyé par defZero
