Où en est Zoom ?

Je suis ravi de pouvoir vous donner des nouvelles rassurantes. En effet, face à la pression de la presse, de grosses entreprises et même d’institutions gouvernementales, Zoom met les bouchées doubles pour combler faille après faille depuis le début du confinement.

Pourquoi n’en avions nous jamais entendu parler ?

Car ce qui est dramatique, c’est que ce logiciel existe depuis 9 ans, est coté en bourse depuis plus d’un an et est utilisé depuis des années par de très grosses entreprises (telles que Google, la NASA, SpaceX, le Sénat américain ou le gouvernement allemand) qui ont toutes, il y a un mois, pris la décision d’abandonner Zoom. Zoom n’est donc pas un petit nouveau inexpérimenté alors que des failles de sécurités très graves sont dénoncées depuis plusieurs années.

Simplement, le confinement a multiplié par 20 le nombre de conférences entre décembre 2019 et mars 2020 (passant de 10 à 200 millions de réunions lancées chaque jour sur le service) et a exposé au grand public les problèmes de sécurité et de confidentialité d’un service qui était jusque là majoritairement utilisé en interne par des entreprises.

Qu’est-ce qui va changer ?

Le 1er avril, Zoom a annoncé se donner 90 jours pour combler toutes les failles, travailler sur un possible chiffrement de bout en bout1 des vidéoconférences pour le 22 mai prochain et demander un audit de sécurité externe dès que tout cela sera mis en place.

Zoom a également fait appel à l’ancien responsable de la sécurité de Facebook le 8 avril 2020 et à réalisé le 7 mai dernier l’achat de la start-up Keybase, spécialisée dans le chiffrement de bout en bout des conversations et des fichiers.

Puis-je utiliser Zoom aujourd’hui ?

Oui, mais avec précaution.

Les failles ne sont pas encore toutes corrigées. Et rappelez-vous qu’il y a encore un mois était découvert qu’un hacker pouvait accéder au contenu de tout votre ordinateur sans votre accord.

La fondation Mozilla vient d’identifier le logiciel comme “sûr” sur son siteConfidentialité non incluse” qui référence la sécurité et la confidentialité des logiciels populaires.

Voici quelques conseils pour garantir au mieux sa sécurité :

Lors de votre inscription sur Zoom

  1. Lors de votre inscription sur Zoom, n’utilisez pas d’adresses e-mail personnelles, de préférence, une adresse mail spécialement créée.

  2. Utiliser un mot de passe unique pour votre compte zoom.

Lors de l’utilisation de Zoom

  1. Il est préférable d’utiliser Zoom directement dans son navigateur plutôt que de l’installer. En effet, la plupart des problèmes de sécurité et de confidentialités sont présents dans les applications, mais pas la version pour navigateur web.

  2. Si vous préférez l’installer, téléchargez la dernière version de Zoom sur vos appareils.

    Cette version 5, sortie le 27 avril, apporte “vrai” un chiffrement AES-256bits de vos réunions pendant leur transfert entre les membres et le serveur de Zoom. Cela veut dire qu’une personne qui intercepte le flux vidéo pendant une réunion ne peut pas le visionner. Auparavant, n’importe qui pouvait le faire sans problème.

  3. N’installez pas d’autres applications que les applications officielles. Les autres sont fausses et généralement proposées pour récupérer vos informations voir vos fichiers.

  4. Utilisez un mot de passe pour votre réunion ! Cela empêchera toute personne possédant l’identifiant de la réunion.

  5. Ne partagez pas publiquement l’identifiant et le mot de passe d’une réunion ! Trop de personnes le font encore, sur les réseaux sociaux par exemple. Partagez l’identifiant de la réunion si vous voulez, mais communiquez le mot de passe par un autre moyen, de façon individuelle et privée.

  6. Activez la salle d’attente (Waiting Room). Vous devez ainsi accepter manuellement toute personne souhaitant rentrer dans la réunion. Cela vous permet de vérifier si une personne n’a rien à faire dans votre réunion.

  7. Activez le partage d’écran pour l’hôte uniquement par défaut. Ainsi, personne ne pourra montrer d’images non désirées sans votre accord.

  8. Méfiez-vous des faux emails en provenance de pirates se faisant passer pour Zoom.

Plus de détails sur tous ces conseils

Et après ?

Zoom s’est donné 90 jours, c’est-à-dire trois mois à partir du 1er avril. Il faudra donc attendre jusqu’à la fin du mois de juin pour faire un point plus précis sur sa situation.

Néanmoins, Zoom a, bien heureusement, rattrapé beaucoup de son retard depuis les premières grosses polémiques du mois de mars avec le début de la pandémie.

  1. Plus d’infos sur le chiffrement de bout-en-bout : https://wiki.pcet.link/faq/chiffrement#chiffrement_cote_client ↩︎