En cette période où beaucoup d'entreprises se sont brusquement retrouvées à faire du télétravail sans forcément y être bien préparées, certains logiciels ont énormément gagné en popularité ces dernières semaines.

Le plus connu de ceux-ci est sans doute Zoom, le logiciel de visioconférences qui est passé en quelques mois de 10 millions d'utilisateurs à plus de 200 millions. Il cristallise à lui seul une grande partie des espoirs et des inquiétudes concernant le télétravail.

Depuis ce boom de popularité, beaucoup de gens se sont penchés sur la sécurité de ce logiciel, et beaucoup ont annoncé avoir trouvé des failles. Il est cependant difficile pour les non-spécialistes de faire le tri dans ces annonces entre les vrais problèmes qui peuvent les affecter et les articles écrits de façon alarmante pour le "buzz" quand le problème est plus que mineur.

Alors que de nombreuses entreprises se retrouvent à compter dessus pour leur travail quotidien, il est important de savoir ce qu'il en est. Est-ce un logiciel utile ou une faille de sécurité ? Voici l'avis d'experts de la cybersécurité.

Les failles trouvées récemment

Commençons par lister les "failles" trouvées récemment sur Zoom et annoncées dans la presse, en expliquant pour chacune d'elle ce qu'il en est vraiment, et ce que nous en pensons chez Seald.

  • "Zoom permet de voler les mots de passe Windows"‌‌‌‌
    En résumé, si l'utilisateur clique sur certains types de liens malveillants, le système peut essayer de s'authentifier automatiquement avec son nom d'utilisateur et le hash de son mot de passe NTLM‌.
    Qu'est-ce que ça signifie pour vous ? Tout d'abord, si vous êtes sur votre ordinateur personnel, vous n'êtes pas concerné. Ceci concerne exclusivement les utilisateurs en entreprise utilisant l'authentification NTLM, et la fonction d'authentification automatique est facilement désactivable.
    Ensuite, en regardant plus attentivement, on se rend compte qu'en fait ce n'est pas une faille de Zoom, mais une faille de Windows, qui décide sans demande explicite de l'utilisateur d'envoyer un hash faible du mot de passe sur un serveur distant. Le vrai reproche devrait être fait à Windows, et non pas à Zoom. Certes, Zoom aurait pu interdire ce type de lien (et c'est ce qu'ils ont fait une fois la "faille" annoncée), mais ce n'est clairement pas l'origine du problème.
  • "Zoom permet de pirater votre Mac"
    ‌‌En résumé, il s'agit de 2 failles différentes. La première est que, dans certains cas, l'installeur de Zoom peut être détourné pour qu'un autre logiciel récupère les privilèges root après que l'utilisateur ait entré son mot de passe. La seconde est que Zoom est susceptible à une technique qui s'appelle le dylib proxying, et qui permet à une autre application de "se faire passer" pour Zoom‌.
    Concernant la première, étant donné que le dialogue de demande d'autentification ne mentionne même pas Zoom, un logiciel malveillant s'executant sur l'ordinateur et qui pourrait exploiter cette faille peut tout aussi bien demander lui-même les droits administrateur...‌‌
    Concernant la seconde, elle permet surtout à un logiciel malveillant s'exécutant déjà sur l'ordinateur de "contourner" le système d'autorisation par application de MacOS, et d'accéder par exemple à la webcam ou au micro via l'autorisation de Zoom plutôt que de faire apparaitre un dialogue d'autorisation‌.
    En conclusion, il s'agit certes de vraies failles, mais très mineures puisqu'elles ne peuvent être exploitées que par un logiciel malveillant qui s'exécute déjà sur votre ordinateur. Dans ce cas, c'est bien souvent déjà trop tard... Le point positif est que Zoom a réagi très rapidement, et a comblé ces failles mineures bien plus vite que la moyenne, au point d'être félicité par l'un des chercheurs ayant participé à les trouver.
  • "Zoom envoie les données à Facebook"‌‌
    En résumé, l'application iOS de Zoom, à cause d'un problème de configuration, envoyait certaines données à Facebook même si l'utilisateur n'utilisait pas la "Connexion avec Facebook".‌
    En réalité, les données envoyées sont très mineures (un identifiant aléatoire, le fait que l'utilisateur ait ouvert l'application et sa version, le modèle d'iPhone utilisé et sa version, le fuseau horaire...). C'est en effet anormal que Zoom envoie ces données à Facebook, mais cela reste mineur. Zoom n'a jamais envoyé vos conversations à Facebook, seulement ces quelques métadonnées. Surtout, encore une fois, Zoom a réagi extrêmement vite et a modifié son application en moins de 48 h pour ne plus utiliser le SDK Facebook, mais toujours permettre la connexion avec Facebook via le navigateur.
  • "Le Zoombombing, qu'est-ce que c'est ?" ‌‌
    En résumé, c'est le nom donné au fait que certaines personnes rejoignent des réunions Zoom sans y être invité, et d'y diffuser du contenu de harcèlement, des insultes, des images pornographiques, ...‌‌
    Comment s'en protéger ? C'est en fait très simple, il existe plusieurs fonctions de l'application pour s'en protéger : définir un mot de passe pour rejoindre la réunion, le système de salles d'attentes virtuelles, restreindre les personnes pouvant rejoindre la réunion, désactiver le partage d'écran pour les utilisateurs n'étant pas animateurs ... Zoom a publié un article utile pour récapituler toutes les fonctions de sécurité pouvant vous aider à éviter ce souci.
    Encore une fois, ce n'est pas une faille de sécurité de l'application. C'est simplement certains utilisateurs qui en connaissent mal le fonctionnement et ne sécurisent pas correctement leurs réunions, ce qui est certes favorisé par cet afflux massif de nouveaux utilisateurs, et par des paramètres par défaut qui favorisent la facilité d'utilisation plutôt que la confidentialité des réunions.

En conclusion, faut-il éviter d'utiliser Zoom ? À notre avis, pas du tout. Zoom est un outil très utile pour le télétravail. Bien entendu, Zoom ne convient pas à des échanges extrêmement confidentiels, et ne serait pas adapté à transmettre des plans de missiles ou de centrales nucléaires, mais pour une utilisation quotidienne au travail, ce n'est pas ce qu'on lui demande. Est-il assez sécurisé pour une utilisation normale ? Oui.

Certes, Zoom a eu par le passé quelques problèmes de sécurité, ceux récents que nous avons cité, ou d'autres (un serveur local non sécurisé, un chiffrement moins solide qu'ils ne le laissaient entendre, des routages d'appels étranges, ...). Ces problèmes sont souvent moins graves que ne laissent l'entendre les titres de presse racoleurs, et la réactivité impressionnante de Zoom pour les résoudre est plus que louable, et surtout rassure énormément sur leur sérieux et l'importance qu'ils accordent à la sécurité, quand certains autres éditeurs laissent trainer des failles plusieurs mois, et d'autres logiciels que vous avez surement sur votre ordinateur ont tellement de failles que les gros titres n'en parlent même plus.

D'un autre côté, d'autres solutions existent. Si vous avez des besoins avancés de sécurité, aucune solution Cloud ne peut valoir les solutions auto-hébergées. Si c'est quelque chose qui vous intéresse, n'hésitez pas à regarder du côté de Jitsi, une très bonne solution française open-source et auto-hébergée.