Zoom améliore ses options de sécurité sur fond de (mauvaise) polémique

Teams, Skype, WebEx, Hangout ne sont pas chiffrés non plus

Quoi qu’il en soit, la mode est au « Zoom-bashing ». Le titre d’une tribune de Benoît Grunemwald, expert en cybersécurité chez ESET France, récemment envoyée à la presse, le souligne d’ailleurs assez justement : « Zoom est sur la sellette ». Et même si cela n’est pas nécessairement mérité. Car comme le constate Benoît Grunemwald, des vulnérabilités identifiées dans les applications clientes ont « toutes été corrigées en peu de temps ». La fuite de données vers Facebook (dont l'origine vient plus de Facebook) ? « L’entreprise a reconnu le problème et a retiré le kit de développement logiciel (SDK) de Facebook pour iOS », écrit-il.

La fonctionnalité de suivi d’attention des participants qui faisait polémique ? Elle aussi retirée rapidement, liste l’expert faisant ressortir en creux la réactivité de l’éditeur. Quant au président fondateur de Zoom, Eric Yuan (également fondateur de WebEx, qu’il a revendu à Cisco), il a pris ses responsabilités en s’excusant publiquement.

Pour Tixeo, aucun des acteurs américains ne chiffre de bout en bout.

Au final, le véritable problème de Zoom – et c’est un problème très sérieux, qui lui est d’autant plus reproché que son marketing affirmait le contraire – est celui du non-chiffrement de bout en bout. Une conversation sur Zoom est sécurisée sur le réseau, mais pas sur les serveurs de l’éditeur qui pourrait donc y accéder et accéder aux enregistrements faits par les utilisateurs. Ce point est (très) problématique vis-à-vis du Cloud Act. Mais il ne s’agit pas d’un problème de sécurité. Il s’agit d’un problème de confidentialité.

L’ironie est que les acteurs du SaaS, sans exception, jouent depuis des années sur cette confusion entre sécurité et confidentialité en répondant que leurs serveurs sont sécurisés contre les intrusions quand on leur demande s’ils ont, eux, accès aux données. Et le marché ne s’en émouvait pas plus que cela.
Un grand groupe qui œuvre dans un domaine critique comme la défense n’a pas hésité à mettre ses RH dans un cloud qui ne permet pas de gérer ses clefs de chiffrement. Alors qu’il est un concurrent frontal de l’américain Boieng, Airbus est passé sans coup férir sur G Suite, qui envisage, mais ne permet pas, de gérer ses clefs de chiffrement. Et un Nestlé a choisi comme réseau social interne Workplace de Facebook, qui ne chiffre tout simplement pas les données au repos. Et dans la visioconférence ? Si l’on en croit le comparatif de Tixeo (l’alternative française à Zoom et certifiée par l’ANSSI), aucun des acteurs américains ne chiffre de bout en bout.

Zoom n’est donc ni plus, ni moins sécurisé que Skype/Teams, WebEx, LifeSize et autres Polycom. Qui ne le sont pas non plus. Certains choix d’architecture technique peuvent d’ailleurs jouer. Pour les secteurs critiques, on rappellera au passage que les seules alternatives possibles – notamment pour ne pas être soumis au Cloud Act – sont de gérer soi-même ses outils (comme avec Jitsi ou Skype for Business sur serveurs) ou de faire appel à un prestataire non américain (comme, donc, le Montpelliérain Tixeo).

Le problème entre la chaise et le clavier

Indépendamment du chiffrement, le Zoom-bashing a commencé après la multiplication du Zoom-bombing : c’est-à-dire des participants non invités qui arrivaient à se connecter à des réunions, soit pour les espionner, soit pour les perturber. Une réunion Zoom est en effet accessible via une URL type. Il suffit de trouver les caractères de fin de l’URL pour y accéder.

Le Zoom-bombing est facilement évitable en protégeant ses réunions par mot de passe, et/ou en contrôlant les participants. Encore faut-il savoir comment faire (le fameux problème de sécurité qui se trouve entre la chaise et le clavier). Le 1er avril, le président de Zoom promettait donc de consacrer toutes ses ressources à la sécurité et à ces questions d’ergonomie. Et ce n’était pas une blague : une semaine plus tard (hier), il livrait les premiers fruits de ses travaux.

Mot de passe par défaut et salle d’attente pour tout le monde

La plus grosse nouveauté concerne l’interface, avec les options de sécurité qui sont maintenant très visibles et accessibles via une icône désormais mise très en avant.

Gérer les participants un par un (Screenshot Zoom)

De cette manière plus intuitive, il est possible de verrouiller un meeting (quand tout le monde est là) et de désactiver le partage d’écran et le chat de tous les participants. Il est toujours possible également, via l’onglet Participants, d’affiner au cas par cas des exceptions, mais aussi de passer un membre de l’audience dans une salle d’attente, voire de l’exclure.

Les mots de passe pour les réunions sont également et désormais activés par défaut. Tout comme les salles d’attente.

Pour mémoire, une salle d’attente est – comme son nom l’indique – un panneau listant les personnes qui tentent de se joindre à une réunion (avant ou pendant) et les mettant automatiquement en attente. L’organisateur peut alors les accepter – une par une ou en groupe – et exclure les indésirables.

Toutes ces fonctionnalités existaient déjà dans Zoom, mais elles sont à présent rassemblées et comprises dans toutes les licences. Pour en bénéficier, il faudra néanmoins penser à mettre à jour l’application.