L’éditeur de l’application de vidéoconférence ZOOM a pris de nombreux d’engagenements auprès de la Federal Trade Commission (FTC), le 9 novembre 2020, pour mettre une procédure à son encontre.

La FTC reprochait à ZOOM :

  • d’avoir induit en erreur les utilisateurs, depuis au moins 2016, en indiquant utiliser « chiffrement de bout en bout de 256 bits » pour sécuriser les communications, alors que les clés cryptographiques permettant d’accéder au contenu des communications étaient en réalité en sa possession ;
  • d’avoir induit en erreur les utilisateurs en indiquant que les enregistrements des communications étaient « immédiatement chiffrés après la fin de la réunion », alors que certains enregistrements étaient stockés sans chiffrement « jusqu’à 60 jours » avant d’être chiffrés ;
  • d’avoir compromis la sécurité de certains utilisateurs en installant « secrètement » une application sur leur machine permettant de contourner les protections du navigateur Safari d’Apple ;
  • d’avoir augmenté le risque que les utilisateurs soient surveillés par des étrangers en ne supprimant pas totalement l’application Zoom lors de la désinstallation de l’application et en l’a réinstallant, dans certains cas, sans aucune action de la part de l’utilisateur.

« Selon la plainte de la FTC, les affirmations trompeuses de Zoom ont donné aux utilisateurs un faux sentiment de sécurité, en particulier à ceux qui utilisaient la plateforme de la société pour discuter de sujets sensibles tels que la santé et les informations financières. »

Pour mettre un terme à la plainte de la FTC, ZOOM s’est notamment engagé à :

  • ne pas faire de fausses déclarations sur ses pratiques en matière de confidentialité et de sécurité, notamment sur la manière dont elle collecte, utilise ou divulgue des données à caractère personnel ;
  • analyser les mises à jour de son application à la recherche de failles de sécurité ;
  • évaluer et documenter, tous les ans, tous les risques et développer des moyens pour s’en prémunir ;
  • implémenter un programme de gestion des vulnérabilités ;
  • prendre des mesures, comme l’authentification multifacteurs, pour se protéger contre l’accès non autorisé à son réseau et pour éviter l’utilisation d’identifiants compromis ;
  • faire évaluer son programme de sécurité tous les deux ans par un tiers indépendant, approuvé par la FTC ;
  • informer la FTC en cas de violation de données.

Lire :