Zoom est l’un des grands bénéficiaires de cette pandémie : il a connu une hausse de son utilisation, en passant de 10 millions en décembre 2019 à 300 millions d'utilisateurs actifs par jour en avril 2020. Le revers de la médaille a été une attention particulière portée à l’application, notamment par les experts en sécurité et les régulateurs, dont la FTC. Ainsi, dès le mois de mars 2020, des bogues ont été relevés dans l'application et il a aussi été découvert que les réunions Zoom ne supportaient pas le chiffrement de bout en bout, ce qui donne la possibilité à l'entreprise d'espionner les réunions vidéo privées.« Depuis au moins 2016, Zoom a induit les utilisateurs en erreur en prétendant qu'il offrait "un chiffrement de bout en bout à 256 bits" pour sécuriser les communications des utilisateurs, alors qu'en fait il offrait un niveau de sécurité inférieur », a déclaré en novembre 2020 la FTC dans l'annonce de sa plainte contre Zoom et de l'accord de principe. « Zoom a, en réalité, conservé les clés de chiffrement qui pouvaient lui permettre d'accéder au contenu des réunions de ses clients, et a sécurisé ses réunions Zoom, en partie, avec un niveau de cryptage inférieur à celui promis », a ajouté le régulateur.
Selon la plainte de la FTC, l'entreprise s'est jouée des utilisateurs de sa plateforme, pourtant importante pour leurs activités, alors qu'elle avait la possibilité et les moyens techniques pour mettre en place une sécurité théoriquement à l'épreuve des espions. En outre, la FTC estime que les affirmations trompeuses de Zoom ont donné aux utilisateurs un faux sentiment de sécurité, en particulier pour ceux qui ont utilisé la plateforme de l'entreprise pour discuter de sujets sensibles, tels que la santé et les informations financières, pour ne citer que ceux-là.
Par exemple, Zoom a affirmé offrir un chiffrement de bout en bout dans ses guides de conformité à la HIPAA (Health Insurance Portability and Accountability Act) de juin 2016 et juillet 2017, qui étaient destinés aux utilisateurs du service de vidéoconférence dans le secteur de la santé. Dans de nombreux articles de blogue, Zoom a spécifiquement fait valoir son niveau de chiffrement comme une raison pour les clients et les clients potentiels d'utiliser les services de vidéoconférence de Zoom. Cela dit, dans tous les cas, il s'agit de déclarations trompeuses.
La plainte souligne aussi que Zoom a affirmé qu'il offrait un chiffrement de bout en bout dans un livre blanc de janvier 2019, dans un article de blog d'avril 2017 et dans des réponses directes aux demandes de clients et de clients potentiels. Toujours selon la plainte de la FTC, Zoom a également induit en erreur certains utilisateurs qui voulaient stocker des réunions enregistrées sur le stockage en ligne de l'entreprise en prétendant à tort que ces réunions étaient chiffrées immédiatement après la fin de la réunion.
Cependant, au lieu de cela, certains enregistrements auraient été stockés de façon non chiffrée pendant 60 jours sur les serveurs de Zoom avant d'être transférés sur son stockage en ligne sécurisé. Pour régler ces allégations, Zoom a accepté l'obligation d'établir et de mettre en œuvre un programme de sécurité complet, l'interdiction de toute fausse déclaration sur la vie privée et la sécurité, et d'autres mesures détaillées et spécifiques pour protéger sa base d'utilisateurs.
En outre, le personnel de Zoom devra examiner toute mise à jour du logiciel pour détecter les failles de sécurité et s'assurer que les mises à jour n'entraveront pas les fonctions de sécurité de tiers. Par ailleurs, la résolution n'a pas de volet financier, mais le régulateur a déclaré que Zoom serait confrontée à des amendes pouvant aller jusqu'à 43 280 dollars pour chaque violation future de l'accord.
La plainte et le règlement de la FTC couvrent également le déploiement controversé par Zoom du serveur Web ZoomOpener qui a contourné les protocoles de sécurité d'Apple sur les ordinateurs Mac. « Le serveur Web ZoomOpener a permis à Zoom de se lancer automatiquement et de joindre un utilisateur à une réunion en contournant la protection du navigateur Safari d'Apple qui protégeait les utilisateurs contre un type de logiciel malveillant courant », a déclaré la FTC. En effet, Zoom a « secrètement installé » le logiciel dans le cadre d'une mise à jour de Zoom pour Mac en juillet 2018.
Zoom accepte de payer 85 millions de dollars pour mettre fin à un recours collectif
Zoom a accepté de payer 85 millions de dollars pour régler les allégations selon lesquelles il aurait menti sur le fait d'offrir un chiffrement de bout en bout et aurait communiqué les données des utilisateurs à Facebook et Google sans le consentement des utilisateurs. Le règlement entre Zoom et les déposants d'un recours collectif couvre également les problèmes de sécurité qui ont conduit à des Zoombombings endémiques.
Le règlement proposé donnerait généralement aux utilisateurs de Zoom 15 $ ou 25 $ chacun et a été déposé samedi devant le tribunal de district américain du district nord de Californie. Cela s'est produit neuf mois après que Zoom a accepté des améliorations de la sécurité et une « interdiction des fausses déclarations en matière de confidentialité et de sécurité » dans un règlement avec la Federal Trade Commission, mais le règlement de la FTC n'incluait pas de compensation pour les utilisateurs.
Le nouveau règlement de recours collectif s'applique aux utilisateurs de Zoom à l'échelle nationale des USA, qu'ils aient utilisé Zoom gratuitement ou payé pour un compte. Si le règlement est approuvé par le tribunal, « les membres du groupe qui ont payé pour un compte seront éligibles pour recevoir 15 % de l'argent qu'ils ont payé à Zoom pour leur abonnement de base aux réunions Zoom pendant cette période [du 30 mars 2016 au 30 juillet. 2021] ou 25 $, selon le montant le plus élevé », indique le règlement. « Les membres du groupe qui ne sont pas admissibles à soumettre une réclamation d'abonnement payé peuvent faire une réclamation de 15 $. Ces montants peuvent être ajustés, au prorata, à la hausse ou à la baisse, selon le volume de la réclamation, le montant des frais et dépenses, les paiements de service aux représentants de classe, les taxes et frais fiscaux, et les frais d'administration du règlement.
Les avocats du groupe obtiendraient des honoraires allant jusqu'à 25 pour cent des 85 millions de dollars et jusqu'à 200 000 $ pour le remboursement des dépenses. Environ une douzaine de plaignants nommés demandent l'approbation de paiements de 5 000 $ chacun. Une audience sur la requête des plaignants pour l'approbation préliminaire du règlement est prévue pour le 21 octobre 2021.
En plus des paiements, Zoom « a accepté plus d'une douzaine de changements majeurs à ses pratiques, conçus pour améliorer la sécurité des réunions, renforcer les divulgations de confidentialité et protéger les données des consommateurs », indique le...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
Envoyé par pboulanger
