Une erreur dans le texte ?

C'est le bon endroit pour nous l'indiquer !
Attention, ce formulaire ne doit servir qu'à signaler une erreur. N'hésitez pas à utiliser la page de contact pour nous contacter ou nous faire part de vos suggestions. Merci.

Etape 1

Cliquez sur les paragraphes contenant des erreurs !

Comment Zoom a redressé la réputation désastreuse de sa sécurité en 3 mois

Zoom termine un cycle de 90 jours pendant lequel il s'est concentré sur sa sécurité. L'heure de faire un bilan sur les améliorations que le service de visioconférence a proposé. 

Le 1er avril 2020, le CEO de Zoom Eric Yuan écrivait un billet de blog attendu, dans lequel il concédait : « Nous reconnaissons que nous n'avons pas répondu aux attentes de la communauté - et aux nôtres - en matière de confidentialité et de sécurité. » La situation de l'entreprise était alors ambivalente. D'un côté, le service de visioconférence était plébiscité par des millions de nouveaux utilisateurs grâce aux confinements. De l'autre, il ne se passait pas une semaine sans que sa mauvaise gestion de la vie privée et de la sécurité des utilisateurs ne soit pointée du doigt. Bref : la sécurité de Zoom n'était pas à la hauteur de son succès.

Pour remédier à la situation, Eric Yuan avait annoncé dans son blog que pendant les 90 jours suivants, toutes les ressources de l'entreprise seraient allouées à l'amélioration de la sécurité et de la protection de la vie privée des utilisateurs.

Trois mois plus tard, l'entreprise fait son bilan sur ce gros coup de communication. Elle se targue d'avoir développé «plus de 100 nouvelles fonctionnalités liées à la sécurité et au respect de la vie privée. » Ce nombre impressionnant rappelle les lacunes des anciennes versions du logiciel, mais met aussi en avant les améliorations concrètes déployées par l'entreprise. Pour parvenir à ce résultat, Zoom a répondu à toutes les critiques qui lui ont été adressées, une par une.

Zoom a corrigé ce qui lui était reproché

Zoom a initié ce nouveau cycle avec le recrutement (en tant que consultant) de l'ancien directeur de la sécurité de Facebook, Alex Stamos, et près d'une dizaine de dirigeants ont été nommés à d'autres postes clés de la sécurité de l'entreprise depuis. Le dirigeant a pu lancer plusieurs chantiers lourds, pratiquement terminés.

En même temps que la popularité de Zoom explose, un phénomène est apparu: le « Zoombombing ». Des individus s'échangeaient les adresses des réunions de visioconférences pour venir les perturber, qu'il s'agisse de cours d'école ou de conférence d'entreprise. Ces canulars ont rapidement tourné à l'incitation à la haine, l'antisémitisme ou encore à la diffusion de contenus pornographiques grâce à la fonctionnalité de partage d'écran. Zoom s'est agacé du nom donné au phénomène, arguant que le problème est inhérent à l'ensemble des logiciels de visioconférence.

Mais c'est bien à ce problème qu'elle s'est attaquée en premier dans le cadre de son plan sur 90 jours. Elle a commencé par changer ses paramètres par défaut pour ses utilisateurs gratuits, puisque toutes les fonctionnalités de sécurité étaient désactivées. Désormais, un mot de passe est créé en même temps que la réunion et il faut le rentrer pour y accéder. L'administrateur doit également autoriser manuellement chaque participant de la réunion, qui est placé dans une salle d'attente en attendant cette validation. L'hôte peut aussi contrôler qui peut effectuer un partage d'écran.

Pour finir Zoom a lancé un outil de signalement afin identifier les perturbateurs les plus récurrents et les exclure. L'entreprise travaille d'ailleurs encore avec les forces de l'ordre pour les sanctionner.

Zoom s'était fait sévèrement tacler par le Citizen Lab, un laboratoire de recherche en cybersécurité de référence, sur la qualité de son chiffrement. Parallèlement, le journal The Intercept avait exposé la publicité mensongère de Zoom, qui affirmait à tort sur son site qu'il disposait du chiffrement de bout en bout, un des standards de sécurité des communications les plus élevés.

L'entreprise avait presque immédiatement changé sa méthode de chiffrement, pour une norme plus solide, l'AES 256 GCM. Ensuite, elle a sorti le chéquier pour s'offrir Keybase, début mai. Le dirigeant de cette startup et ses équipes ont été intégrés aux équipes de Zoom, qui leur a confié le développement du chiffrement de bout en bout.

Un mois plus tard, le groupe a annoncé qu'il déploierait prochainement l'option pour chiffrer de bout en bout tous les appels vidéos. Après un cafouillage médiatique, Zoom a déterminé qu'elle offrirait ce standard de sécurité à tous ses utilisateurs, gratuits comme payants.

En parallèle des deux axes d'améliorations majeurs, l'entreprise a effectué plusieurs ajustements. Les utilisateurs peuvent par exemple choisir où sont situés les datacenters par lesquels passent les conversations, après que le Citizen Lab a mis en lumière que certains appels transitaient par la Chine. Elle a aussi créé un onglet de sécurité qui regroupe toutes les fonctionnalités auparavant disséminées dans différents menus, et renforcé son programme de bug bounty.

Dans son communiqué Zoom explique qu'elle ne veut pas « s'arrêter là ». Il lui reste notamment une promesse à remplir : la publication d'un rapport de transparence. Le groupe explique déjà comment il répond aux demandes gouvernementales, mais il n'a pas encore émis ce rapport de référence, qui serait « en préparation.» Ce serait un beau point de conclusion sur une mise à niveau réussi de sa sécurité.