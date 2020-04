Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Dans notre effort collectif pour transformer des piles de boîtes à pizza de trois pieds, des tas de jouets pour enfants et la lessive de la semaine dernière en un espace de bureau crédible, une poignée d’entreprises ont gagné un grand nombre d’utilisateurs en peu de temps. L’utilisation de Zoom Vidéo a augmenté au cours des deux dernières semaines, entraînant une hausse du cours des actions de l’entreprise, mais cette même popularité a encouragé un examen beaucoup plus approfondi des diverses pratiques de l’entreprise en matière de confidentialité et de sécurité. Le zoom ne se déroule pas très bien dans ces comparaisons, et les mauvaises nouvelles continuent de s’accumuler.

Plus récemment, The Intercept a révélé que Zoom n’offrait pas de cryptage de bout en bout, malgré des promesses spécifiques à l’effet contraire. Le chiffrement de bout en bout est une fonctionnalité que Zoom prétend offrir sur les appels vidéo, à la fois dans son livre blanc sur la sécurité et dans son application.

Lorsqu’on lui a demandé s’ils implémentaient réellement le cryptage E2E, Zoom a répondu que non.

“Actuellement, il n’est pas possible d’activer le cryptage E2E pour la réunion vidéo Zoom”, a écrit le représentant. «Les vidéoconférences Zoom utilisent une combinaison de TCP et UDP. Les connexions TCP sont établies à l’aide de TLS et les connexions UDP sont chiffrées avec AES à l’aide d’une clé négociée sur une connexion TLS. »

Au lieu d’activer le chiffrement de bout en bout, Zoom utilise TLS. Il s’agit du chiffrement de transport, pas du chiffrement de bout en bout. La différence la plus importante pour les utilisateurs finaux est la suivante: avec un véritable chiffrement de bout en bout, comme celui proposé par Apple via FaceTime ou Signal, la société fournissant le service ne peut pas accéder à vos données vidéo, audio ou texte, même si il le voulait. Il n’y a aucune information à donner aux gouvernements qui le recherchent.

Le cryptage de transport, en revanche, permet à Zoom de jeter un œil à l’intérieur du chat audio et vidéo (les messages de chat, il s’avère, sont en fait cryptés de bout en bout dans les sessions Zoom, même si rien d’autre ne l’est). Comme le souligne le rapport, la publicité elle-même comme offrant l’E2E alors qu’elle ne pourrait pas constituer des pratiques commerciales et commerciales trompeuses si les clients choisissaient d’utiliser Zoom à la suite de ces allégations plutôt qu’un service concurrent.

On ne peut pas permettre aux entreprises de diluer la définition des termes de sécurité, de peur que nous ne perdions complètement leur signification. Le chiffrement de transport est un chiffrement de transport, et ce n’est pas la même chose que le chiffrement de bout en bout, quelle que soit l’utilité de Zoom pour le prétendre.

Le cryptage n’est pas le seul problème de Zoom

Si le cryptage moche était la seule chose que Zoom avait été surpris à faire ces derniers jours, ce serait quand même une histoire importante – la société prétend fournir des services de sécurité qu’elle n’offre pas réellement. Au cours des dernières semaines, cependant, un certain nombre de problèmes de Zoom sont apparus, notamment:

Zoom partage des données d’utilisateur final avec Facebook, même si vous n’utilisez pas Facebook. Le 26 mars, Motherboard a écrit: «L’application Zoom informe Facebook lorsque l’utilisateur ouvre l’application, des détails sur l’appareil de l’utilisateur, tels que le modèle, le fuseau horaire et la ville à partir desquels ils se connectent, le fournisseur de téléphonie qu’ils utilisent et un numéro unique identifiant d’annonceur créé par l’appareil de l’utilisateur que les entreprises peuvent utiliser pour cibler un utilisateur avec des publicités. ” Rien de tout cela n’a été divulgué dans les politiques de confidentialité de l’entreprise. (Zoom a depuis déclaré qu’il mettrait fin à ces arrangements.)

L’EFF a couvert à la mi-mars comment Zoom permet aux hôtes de réunion de contrôler si les gens ont la fenêtre focalisée, ce qui explique pourquoi je n’arrêtais pas de me demander si je faisais attention lors d’une récente réunion Zoom avec une entreprise que je n’identifierais pas. À l’époque, je trouvais cela déroutant, car je prenais des notes et posais des questions, mais cela a plus de sens maintenant. Conseil de pro: Si je regarde votre visage ou votre diaporama pendant plus de quelques secondes à la fois, cela signifie probablement que je ne fais pas attention. Si je fais attention, je capture le diaporama pour un examen ultérieur et prend des notes dans une application distincte.

Une enquête publiée aujourd’hui a révélé que Zoom avait divulgué des e-mails et des photos à des étrangers en fonction de la façon dont il gère les adresses e-mail personnelles. Le répertoire d’entreprise de Zoom ajoute des individus aux listes de contacts d’autres individus sur la base d’un nom de domaine commun. Les individus avec des fournisseurs de domaines de messagerie inhabituels se sont toutefois retrouvés ajoutés à des listes communes de plusieurs milliers de personnes, constituant tous les autres utilisateurs de ce service qui se sont également inscrits à Zoom. Ce problème ne se produit pas pour les principaux fournisseurs d’adresses e-mail comme Gmail ou Yahoo, mais si vous avez obtenu votre service via “ExtremeMail.com”, vous pourriez vous retrouver sur une liste de diffusion commune “Annuaire d’entreprise” avec tous les autres clients ExtremeMail.com, même si aucun de vous n’a de points communs avec votre fournisseur de messagerie. Il existe également un problème de sécurité qui permet aux attaquants de voler vos informations de connexion sur un PC Windows.

Zoom, semble-t-il, a du ménage à faire avant de mériter le titre de «service vidéo pandémique préféré des États-Unis». Il n’offre pas de marketing de bout en bout pour les appels vidéo et audio et il a déjà été pris en train de transférer des données vers Facebook même lorsque les gens n’ont pas de compte Facebook. Au minimum, l’entreprise doit procéder à un audit de ses propres pratiques et résoudre ces problèmes, au préalable.

Image de fond par ExtremeTech, créée à partir de matériel marketing Zoom et de diverses images de Zuckerberg disponibles sur Wikimedia ou par Anthony Quintano, Flickr.

