Zoom déclare que les appels audios et vidéos réalisés sur sa plateforme peuvent être chiffrés de bout-en-bout, mais il y a des raisons d’en douter, parce que l’éditeur s’est déjà vu reprocher d’avoir menti sur la sécurité et la confidentialité des communications passées sur sa plateforme et parce que l’éditeur a montré que ses pratiques étaient douteuses.

Lorsque Zoom a connu son boom de popularité en 2020, notamment suite au recours au télétravail par les entreprises, l’éditeur a affirmé que les appels ou réunions passées sur sa plateforme étaient chiffrées de bout-en-bout. Ce n’était pas le cas en réalité, comme l’a affirmé la Federal Trade Commission (FTC), l’agence américaine de protection des consommateurs, dans sa plainte[1] contre Zoom :

« Depuis au moins 2016, Zoom a trompé les utilisateurs en prétendant sécuriser leurs communications avec un chiffrement de bout-en-bout, alors qu’il offrait un niveau de sécurité inférieur. […] En réalité, Zoom conservait les clés cryptographiques qui lui permettait d’accéder au contenu des réunions de ses clients. »

Par ailleurs, suite à une action collective où il était notamment reproché à Zoom d’avoir partagé les données personnelles de ses clients sans les informer et d’avoir communiqué des informations fausses ou trompeuses sur la confidentialité et la sécurité des vidéoconférences, Zoom a accepté de débourser $85m pour mettre fin à la procédure, somme qui a notamment servi à dédommager les utilisateurs de Zoom[2].

Zoom a annoncé avoir modifié ses pratiques depuis ces événements et propose désormais une option qui permet de chiffrer les visioconférences de bout-en-bout :

« Un chiffrement de bout-en-bout, en option, permet de s’assurer que des tiers, dont Zoom, accèdent aux clés privées des réunions. »

Le code source de l’application Zoom n’étant pas public, rien ne permet toutefois de s’en assurer. L’utilisateur est obligé de faire faire confiance à Zoom, chose qui est difficile à faire étant donné son passé, même si l’éditeur s’est gagné auprès de la FTC à ne plus faire de fausses déclarations sur ses pratiques en matière de confidentialité et de sécurité et de faire auditer ses systèmes par une entreprise indépendante.

Notes et références

  1. La Federal Trade Commission (FTC) a reproché à l’éditeur de ZOOM d’avoir communiqué des informations trompeuses sur la confidentialité des vidéoconférences. Voir « ZOOM – L’éditeur s’engage à prendre des mesures de sécurité et à ne plus faire de fausses déclarations sur sa sécurité pour mettre fin à une plainte de la FTC ».
  2. L’éditeur de Zoom a accepté de payer $85m pour mettre fin à une plainte collective qui lui reprochait de partager des données à caractère personnel de ses clients et de tromper les utilisateurs. Voir « ZOOM – L’éditeur accepte de payer $85m pour mettre fin à une action de groupe l’accusant de partager des données personnelles et de prétendre chiffrer les communications de bout-en-bout ».