L’outil de vidéo-conférence se voyait reprocher non seulement de négliger la sécurité de ses utilisateurs, mais aussi de mentir sur le niveau de protection qu’il offrait. Pour autant, Zoom échappe à la sanction, s’engageant auprès de la FTC à changer ses pratiques et à renforcer sa sécurité.
Lors du premier confinement, alors qu’il connaissait un boom sans précédent, Zoom était dans le viseur des chercheurs en sécurité informatique. Pas une semaine ne se passait sans qu’une faille ne soit découverte et il faut encore y ajouter les mensonges de l’entreprise quant à la sécurité de son outil de vidéo-conférence. Si Zoom a depuis changé son fusil d’épaule et sa politique, déployant moult correctifs et renforçant son chiffrement, la Federal Trade Commission s'était auto-saisie et a mené l’enquête.
Elle en livre désormais les conclusions et force est de constater que Zoom s’y fait étriller. La FTC estime ainsi que depuis au moins 2016, Zoom a induit les utilisateurs en erreur en assurant qu’il fournissait un chiffrement robuste de bout en bout, ce qui n’était absolument pas le cas : l’outil ne supporte le chiffrement AES-256 de bout en bout que depuis fin octobre. De même, Zoom prétendait que les enregistrements des réunions étaient immédiatement chiffrés et sécurisés... sauf qu’ils restaient en réalité sur les serveurs de l’entreprise, en clair, pendant au moins 60 jours avant d’être transférés vers son stockage cloud sécurisé.
Le cas du programme ZoomOpener sur Mac a également marqué la FTC : ce logiciel se comportait comme un véritable malware, contournant les mécanismes de sécurité de Safari et de macOS pour installer, sans interaction utilisateur, le client Zoom. Et dans les notes de sa mise à jour de juin 2018, Zoom ne précisait pas que l’update installerait automatiquement ZoomOpener sur le terminal de l’utilisateur, et que ce programme ne serait pas supprimé quand bien même Zoom était désinstallé.
Zoom s’engage
Ce ne sont là que quelques-uns des méfaits qui ont pu être reprochés à l’outil de vidéo-conférence. Pour Andrew Smith, le directeur du Bureau de la protection des consommateurs de la FTC, "les pratiques de sécurité de Zoom ne correspondaient pas à ses promesses”. A l’époque, plusieurs organismes publics avaient, du fait de ces problèmes, abandonné Zoom. La ville de New York l’avait ainsi interdit dans les écoles tandis que l’Utah, le Nevada ou encore l’Etat de Washington déconseillaient son utilisation.
Mais, depuis, Zoom a multiplié les efforts pour renforcer la sécurité de son outil. La FTC a pris acte de cette nouvelle trajectoire et évite à l’entreprise une amende salée, en contrepartie de quoi Zoom a dû prendre plusieurs engagements. Il doit ainsi mettre en œuvre un programme de gestion de la vulnérabilité, instituer des contrôles de suppression des données; empêcher l'utilisation d'identifiants d'utilisateurs compromis connus et faire réaliser des audits biennaux qui seront évalués par la FTC.
Surtout, “il est également interdit à Zoom de faire de fausses déclarations sur ses pratiques en matière de confidentialité et de sécurité, y compris sur la façon dont il recueille, utilise, conserve ou divulgue des renseignements personnels; ses caractéristiques de sécurité; et la mesure dans laquelle les utilisateurs peuvent contrôler la confidentialité ou la sécurité de leurs informations personnelles”.