Les visioconférences Zoom sont-elles un moyen de communication sécurisé ?
Zoom déclare que les appels audios et vidéos réalisés sur sa plateforme peuvent être chiffrés de bout-en-bout, mais il y a des raisons d’en douter, parce que l’éditeur s’est déjà vu reprocher d’avoir menti sur la sécurité et la confidentialité des communications passées sur sa plateforme et parce que l’éditeur a montré que ses pratiques étaient douteuses.
Lorsque Zoom a connu son boom de popularité en 2020, notamment suite au recours au télétravail par les entreprises, l’éditeur a affirmé que les appels ou réunions passées sur sa plateforme étaient chiffrées de bout-en-bout. Ce n’était pas le cas en réalité, comme l’a affirmé la Federal Trade Commission (FTC), l’agence américaine de protection des consommateurs, dans sa plainte[1] contre Zoom :
« Depuis au moins 2016, Zoom a trompé les utilisateurs en prétendant sécuriser leurs communications avec un chiffrement de bout-en-bout, alors qu’il offrait un niveau de sécurité inférieur. […] En réalité, Zoom conservait les clés cryptographiques qui lui permettait d’accéder au contenu des réunions de ses clients. »
Par ailleurs, suite à une action collective où il était notamment reproché à Zoom d’avoir partagé les données personnelles de ses clients sans les informer et d’avoir communiqué des informations fausses ou trompeuses sur la confidentialité et la sécurité des vidéoconférences, Zoom a accepté de débourser $85m pour mettre fin à la procédure, somme qui a notamment servi à dédommager les utilisateurs de Zoom[2].
Zoom a annoncé avoir modifié ses pratiques depuis ces événements et propose désormais une option qui permet de chiffrer les visioconférences de bout-en-bout :
« Un chiffrement de bout-en-bout, en option, permet de s’assurer que des tiers, dont Zoom, accèdent aux clés privées des réunions. »
Le code source de l’application Zoom n’étant pas public, rien ne permet toutefois de s’en assurer. L’utilisateur est obligé de faire faire confiance à Zoom, chose qui est difficile à faire étant donné son passé, même si l’éditeur s’est gagné auprès de la FTC à ne plus faire de fausses déclarations sur ses pratiques en matière de confidentialité et de sécurité et de faire auditer ses systèmes par une entreprise indépendante.
Notes et références
- ↑La Federal Trade Commission (FTC) a reproché à l’éditeur de ZOOM d’avoir communiqué des informations trompeuses sur la confidentialité des vidéoconférences. Voir « ZOOM – L’éditeur s’engage à prendre des mesures de sécurité et à ne plus faire de fausses déclarations sur sa sécurité pour mettre fin à une plainte de la FTC ».
- ↑L’éditeur de Zoom a accepté de payer $85m pour mettre fin à une plainte collective qui lui reprochait de partager des données à caractère personnel de ses clients et de tromper les utilisateurs. Voir « ZOOM – L’éditeur accepte de payer $85m pour mettre fin à une action de groupe l’accusant de partager des données personnelles et de prétendre chiffrer les communications de bout-en-bout ».