Pourquoi j’ai supprimé Zoom et vous devriez en faire autant

En passant de 10 millions à 200 millions d’utilisateurs depuis le début d’année, le service Zoom semble tirer profit de la crise sanitaire en cours. Il faut dire que la visioconférence, avec les situations de confinement généralisée,s est une réponse très XXIème siècle tant pour le travail que pour la vie personnelle. Zoom brille d’ailleurs par une bonne simplicité d’utilisation et d’une certaine richesse fonctionnelle. Oui mais voilà, c’est une vraie passoire à problèmes de sécurité et l’usage des données personnelles est catastrophique. Le point sur les problèmes identifiés à ce jour, pourquoi le quitter quel qu’en soit l’usage et les solutions de remplacement.En 7 ans, le californien Zoom a réussi à se faire une place parmi les licornes californiennes avec un nombre déjà respectable d’utilisateurs. Avec la crise sanitaire en cours et l’excellente idée d’offrir dés début Mars 2020 ses licences gratuites pour le monde de l’éducation, Zoom explose en termes d’utilisateurs. Dans le milieu du marketing, c’est connu, l’enfant est prescripteur d’achat. Dés que cela touche aux nouvelles technologies, c’est pire. Le succès est au rendez vous, les jeunes trouvant un nouveau terrain de jeu, parlant de Zoom University et trouvant de nouvelles manière de s’amuser. Il devient même un nouvel outil de drague. De quoi attirer l’attention et depuis une semaine, pas un jour ne passe sans son lot de révélations.

Une sécurité bâclée

Le succès naissant et l’absence par défaut de mot de passe sur les réunions seront rapidement propice à la pratique du Zoom bombing. La pratique consistant à s’incruster dans des réunions où vous n’êtes pas invité pour faire… tout ce que vous pouvez imaginer. La pratique est à la portée de n’importe quel adolescent un peu débrouillard. Des outils voient même le jour pour automatiser la chose.

Le 31/03/2020, un article très complet de The Intercept (EN) lâche un gros pavé : les communications, annoncées comme chiffrées de bout en bout, ne le sont que sur la couche transport. Et ce, même si vous avez mis en place le Meeting Connector sur votre réseau.Screenshot_2020-04-06 Video Conferencing, Web Conferencing, Webinars, Screen Sharing

Ce n’est pas un bug, c’est un manquement fait sciemment. Les conséquences :

  • tout d’abord, le mensonge. Et aux USA, on ne rigole pas sur les arguments de ventes (claims).
  • Zoom reçoit en clair vos communications audios, vidéos et écrites en clair. Qu’ils promettent de ne pas exploiter, bien entendu.
  • la vulnérabilité certaines attaques Man-In-The-Middle.

Le 03/04/2020, les canadiens de Citizen Lab découvrent aussi des choses à leur tour. Le chiffrement même du transport, annoncé comme reposant sur du AES-256 bits, repose sur un AES-128 bits en mode ECB ce qui ouvre la porte au déchiffrement. Là encore, ce n’est pas un bug, c’est « by design ».

Le 01/04/2020, Vice remonte une anomalie majeure : les utilisateurs ayant les mêmes noms de domaine voient automatiquement les autres utilisateurs du domaine. Utile quand ce sont des adresses d’entreprise, beaucoup moins quand ce sont de domaines de fournisseurs d’accès internet par exemple. A la clef, accès aux données de profils et photos des utilisateurs concernés.

Le 30/03/2020, Patrick Wardle trouve deux failles de sécurité permettant de hacker la machine de l’utilisateur et d’accéder aux flux audios et vidéos. Dans la même veine, le 01/04/2020, Dan Goodin chez Arstechnica met le doigt sur une faille via le partage d’un  simple lien UNC (c’est à dire les liens pour accéder aux disques partagés tel que « \\attacker.example.com/C$ ») qui, si l’utilisateur clique dessus, envoie ses identifiants Windows au pirate. On peut là parler de vrais bugs involontaires (aucun logiciel n’est parfait) et Zoom va réagir très vite et les corriger dés le 02/04/2020. Par effet de halo, ces corrections très rapides pourraient faire oublier les autres problèmes précédemment cités. Ce serait une grosse erreur.

Gestion des données personnelles

Avant les récentes mises à jour de son site web, à la question

« Does Zoom sell Personal Data? »

La réponse posait le décor:

« Depends what you mean by ‘sell' »

Le 26/03/2020, c’est sans doute ce qui a ouvert le bal des mauvaises nouvelles quand on a su que Zoom envoyait les données personnelles des utilisateurs iOS à Facebook, que ces derniers aient un compte Facebook ou non. Le problème a été depuis corrigé en urgence.

Le 03/04/2020, les canadiens de Citizen Lab déjà évoqués découvrent lors de leurs tests que les clefs de chiffrement des communication provenaient de serveurs chinois alors qu’aucun des participants n’était là bas. De quoi faire sourciller quand on sait que l’outil est, assez contre intuitivement, en partie développé en Chine (700 personnes en R&D là-bas). Le CEO de Zoom, Eric Yuan, sera obligé d’admettre qu’en cas de congestion du réseau, les communications peuvent passer par des centres de données autres que ceux de votre région:

During normal operations, Zoom clients attempt to connect to a series of primary datacenters in or near a user’s region, and if those multiple connection attempts fail due to network congestion or other issues, clients will reach out to two secondary datacenters off of a list of several secondary datacenters as a potential backup bridge to the Zoom platform.

Le CEO parle de « by mistake » mais c’est « by design » qu’il faut comprendre. La performance avant tout…

Or, on l’a vu plus tôt, Zoom a accès à vos communications. Leur infrastructure repose sur des paires de datacenters dans chaque Amériques, en Asie et en Europe. Entre le Patriot Act et le Cloud Act, ce qui passe par les serveurs américains est potentiellement open bar pour le renseignement et la justice américains. Au passage, cela devrait les obliger à fournir des « Transparency reports » (rapports indiquant le nombre de requêtes traitées en provenance des gouvernements) ce qui n’est pas le cas. Bienvenus dans la cours des grands. Quant à ce qui passe par les serveurs chinois

Et cette patte chinoise, on va la retrouver ailleurs. Dans la version destinée aux entreprises, il est ainsi possible pour l’organisateur de réunion de surveiller si Zoom est bien affiché en premier plan. Zoom permet aussi aux administrateurs d’aller voir dans les détails nominatifs de l’usage de l’outil par ses utilisateurs. Enfin, les administrateurs peuvent rejoindre les appels à tout moment et sans avertissement.

Conséquences

Le 28/03/2020, SpaceX bloque Zoom en interne et encourage ses employés à plutôt passer par le mail et le téléphone. Pareil à la NASA.106238301-1573511455133gettyimages-1175169776-scaled

Le 30/03/2020, Forbes publie un article allumant Zoom sur le contenu de sa politique d’utilisation, sa collecte massive d’informations et l’emploi trouble qui en est fait. Il le considére comme incompatible avec le respect de la vie privée.

Toujours le 30/03/2020, le New York Times annonce que la procureure de New York s’intéresse aux pratiques de Zoom sur la vie privée.

Le 31/03/2020, une class-action est ouverte en Californie pour non respect du CCPA (le cousin Californien du RGPD).

Peut-être l’Europe finira un jour par réagir car il y a de quoi monter une plainte sur la base du RGPD.

Le 05/04/2020, les écoles de l’état de New-York ont banni Zoom et d’autres écoles leur emboitent le pas.

<EDIT du 09/04/2020>Le 08/04/2020, on apprend qu’un des actionnaires de Zoom attaque l’entreprise et ses dirigeants pour avoir caché les éléments évoqués sur la sécurité et la vie privée, impactant ainsi le cours de bourse.</EDIT>

<EDIT du 10/04/2020>Plusieurs états ont banni l’usage de Zoom à plus ou moins grande échelle. Taiwan depuis le 07/04/2020 pour des raisons évidentes. On retrouve aussi un interdiction de la part du ministères des affaires étrangères allemand depuis le 08/04/2020 ou encore de l’état de Singapour pour ses écoles.</EDIT>

<EDIT du 14/04/2020>Le succès attire aussi son cortège de bidouilleurs qui, sur la base de précédentes failles de sécurité sur d’autres systèmes, on établi un listing de 500.000 comptes Zoom actifs (login et mots de passe) en vente sur le Dark Web.</EDIT>

<EDIT du 15/06/2020>Le 31/05/2020, sous la pression de Pékin, Zoom censure une conférence en ligne tenue aux USA dans laquelle des mères de victimes de la répression de Tiananmen et des organisateurs de la veillée à Hongkong commémorant le massacre.</EDIT>

Problème

Le problème, c’est que l’outil c’est bien implanté dans les mentalités. Niveau grand public, beaucoup de vidéos enregistrées avec Zoom se sont retrouvées en libre accès sur Internet permettant de voir de tout (faites le test et cherchez « Zoom_0.mp4 »). Et quand on demande aux personnes apparaissant dessus comment c’est arrivé, elles ne savent pas répondre.

Les politiques, sans doute pour paraitre dans le vent, se mettent à l’utiliser et, comble de l’amateurisme, publient des captures d’écran sur Internet. Si on a tous vu le PM du Royaume Unis Boris Johnson partager sa capture d’écran sur Twitter (Zoom ID de la réunion : 539-544-323):EUcUBu6XgAcHo93

on retrouve exactement la même du coté de l’Assemblée Nationale Française.

EUiGNi6XQAMJjfU

Et si vous regardez Youtube, vous pouvez voir des professionnels de santé utiliser Zoom pour leur diffusion et déclarer:

– Zoom fonctionne bien, c’est pas mal ce truc. Il y en a qui disent qu’il y a des problèmes de sécurité dessus…

– Mais à la limite, c’est pas très grave. La sécurité c’est juste entre toi et moi.

C’est exactement la réaction commune face à ce type de problèmes et c’est bien ça LE problème.

Pour le remplacer

Si vous êtes une entreprise, un organisme public ou un établissement scolaire, les solutions ne manquent pas.meet_96dp

Si vous êtes plutôt Google, Google Meet et G Suite for Education existent. Google annoncé un upgrade gratuit vers les fonctionnalités Enterprise pour les clients existants le temps de la crise.

Bien plus en avance sur le marché, l’intégration dans l’entreprise et les fonctionnalités, il y a Microsoft Teams. Au delà de la simple MIcrosoft-teams-with-text-1visioconférence et du chat, vous disposez d’espaces collaboratifs, partage documentaire, gestion de tâche et solution de téléphonie. Le tout avec une localisation des données en France, un agrément hébergeur données de santé, des solutions de sécurité Cloud éprouvées et un respect du RGPD qui n’est pas juste de façade. Il existe aussi une version Teams for Education incluant la gestion des classes, des devoirs et des notes. Ces outils sont gratuits pour les 6 prochains mois et 1000 utilisateurs dans leur version complète sachant qu‘une version gratuite de Teams existe déjà.

Si c’est le Patriot Act ou le Cloud Act qui vous inquiète les concernant, je vous invite à lire cet article qui parcours en détail leurs gestions coté Microsoft.

Et pour l’apéro…

Une fois qu’on a fait le tour de tout cela, on reconnait souvent qu’effectivement, c’est à bannir pour les entreprises, mais « ça reste sympa pour l’apéro ».

jitsi-logo3_0

Il existe là encore des solutions totalement gratuites, Open Source, riches fonctionnellement telles que Jitsi. Malheureusement, pas de support éditeur mais pour les geeks, il y a possibilité de créer ses propres serveurs et assurer plus de confidentialité. Vous pouvez aussi aller regarder d’autres solutions telles que Jami ou Signal.
Et pour les utilisateurs de Skype, le 03/04/2020, Microsoft a déployé une fonctionnalité similaire nommée « Meet Now » qui permet enfin de rejoindre des réunions vidéos par simple partage de lien, sans avoir besoin de compte, mais pas encore de mot de passe pour protéger le lien. Un Skype boombing serait donc faisable.

petanque-apero

Pourquoi donc quitter Zoom pour les apéros? C’est sympa après tout? Et bien parce que Zoom fait n’importe quoi avec votre sécurité et vos données et que le respect des libertés individuelles, avec des gouvernements qui lorgnent sur la Chine comme exemple (discutable) dans la gestion de crise, n’a pas de beaux jours devant lui. On pourrait résumer la chose ainsi: le respect de votre vie privée, à l’instar d’un système de santé public face aux pandémies, il ne faut pas attendre d’en avoir besoin pour le défendre.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.