Peut-on vraiment faire confiance à Zoom ?

Paris. À la faveur de la crise du coronavirus, un nouvel outil de communication s’est imposé comme le remède imparable au confinement et le lieu de référence des réunions en télétravail : la plateforme Zoom. Alors qu’elle était déjà connue des entreprises, cette solution de vidéo-conférences ergonomique et d’usage immédiat est, depuis quelques jours voire quelques semaines, massivement utilisée par la plupart des institutions d’enseignement et par des particuliers. En France par exemple, l’Institut d’études politiques de Paris a tout fait pour mettre en place en un temps record la continuité pédagogique grâce à cette application¹ et l’École normale supérieure réfléchit en ce moment à la création de webinars². L’adoption de solutions numériques à des situations d’urgence risque d’occulter les failles présentées en termes de sécurité.

Zoom est un logiciel propriétaire³ avec une interface uniformisée et des offres proposant peu de possibilités d’adaptation, très clairement tournées du côté de l’organisateur des réunions (en l’occurrence, pour la continuité pédagogique, de l’enseignant ou de l’institution). Pour l’utiliser, les organisateurs et les utilisateurs peuvent, s’ils le souhaitent télécharger l’application, ou bien passer directement par leur navigateur Internet. Contrairement à d’autres plateformes de communication, il n’est pas nécessaire de créer un identifiant et un mot de passe : le simple consentement aux conditions générales du site permet d’accéder à la plateforme et de participer à la réunion.

Si cette solution semble pratique, des voix commencent à se lever⁴ contre les éventuelles failles de sécurité qu’elle présenterait. Zoom a été à plusieurs reprises présentée comme peu scrupuleuse du respect des données personnelles. Dans ce contexte, son utilisation généralisée dans la communauté universitaire pose question.

Comme l’a montré une mise au point de l’Electronic Frontier Foundation (association de défenses des droits et libertés dans l’univers digital), Zoom fournit aux administrateurs – les personnes organisant la réunion (enseignants par exemple) – un accès exorbitant aux données personnelles des utilisateurs et à leur activité pendant qu’ils utilisent l’application : «  si un utilisateur enregistre un appel via Zoom, les administrateurs peuvent avoir accès au contenu de l’appel enregistré, y compris la vidéo, l’audio, le verbatim, les fichiers du chat.  »⁵

Une autre fonctionnalité fait polémique : un outil permettant de surveiller l’activité des utilisateurs, l’attendee attention tracking device. Le principe est simple. Si l’organisateur choisit d’activer cet outil et qu’il partage son écran avec les autres utilisateurs (pour leur présenter un PowerPoint par exemple), il pourra voir quel utilisateur est en train de regarder la diffusion en question sur Zoom, que ce soit sur l’application ou sur l’onglet du navigateur⁶. Concrètement, cela signifie que l’administrateur peut savoir, en fonction de la fréquence d’activité (“in focus”) ou d’inactivité observée, si les utilisateurs sont effectivement sur l’onglet ou s’ils sont sur un autre onglet.

Mais ces interrogations liées à la protection de la vie privée ne sont pas les seules inquiétudes que suscite Zoom. L’application en elle-même semble également poser problème. Jusqu’à une récente mise à jour, l’application pour Mac (système iOS) contenait une faille permettant potentiellement à n’importe quel acteur tiers d’utiliser la webcam personnelle des utilisateurs. L’activiste du blog F-Secure Fennel Aurora explique dans un post Linkedin de quelle façon l’application installe de manière invisible sur les ordinateurs Mac une backdoor⁷. Les lecteurs du dernier roman de Jean-Philippe Toussaint savent déjà que cette « porte d’entrée cachée » permet par hypothèse à des tiers d’accéder au programme utilisé. Pour Aurora, l’alternative est simple : soit il s’agit d’une faille de sécurité grossière, soit d’un acte malveillant. Plusieurs observateurs ont noté qu’à ce titre, il était difficile de distinguer Zoom, qui apparaît pourtant comme le leader du marché des visioconférences en cette période de confinement, d’un malware à éviter.

Ce problème n’est pas nouveau, en décembre dernier, Zoom avait déjà montré des failles importantes dans sa sécurité⁸. Dès juillet 2019, une brèche dans le système de Zoom permettait à des agents malveillants de prendre le contrôle à distance des webcams des utilisateurs utilisant la plateforme – à l’époque utilisée régulièrement et intégrée par pas moins de 750 000 entreprises⁹.

Suite à l’essor spectaculaire de l’application, certaines associations ont appelé à ce que Zoom publie un rapport de transparence semblable à ceux que publient déjà Google ou Facebook¹⁰. Ce rapport devrait permettre aux utilisateurs et aux entreprises de clairement savoir quelles données ils acceptent de partager avec Zoom. On peut s’attendre à ce que les universités qui adoptent cette solution fassent pression sur l’entreprise pour pousser à la publication d’un tel rapport.

Par ailleurs, la politique de « protection des données personnelles » de Zoom est particulièrement lacunaire, en particulier eu égard au type de service qu’elle fournit. Selon les conditions générales disponibles sur son site Internet, il n’est pas nécessaire d’avoir un compte ou d’avoir téléchargé l’application pour que Zoom collecte des données personnelles telles que : l’identité, le nom d’utilisateur, l’adresse mail, l’adresse physique, les numéros de téléphone, des informations relatives au métier, au poste et à l’employeur ainsi que les informations de paiement d’une carte bleue¹¹. Cette formulation très large autorise en réalité la plateforme à collecter tout type de données, même si celles-ci sont utilisées de manière purement privée.

Notons que certains organismes peuvent avoir un intérêt à utiliser des logiciels comme Zoom, dont le fonctionnement est favorable à l’organisateur de réunions, et qui leur permet de surveiller l’attitude des collaborateurs. De tels mécanismes de suivi du travail par voie numérique sont déjà utilisés dans certaines entreprises, chez qui le recours à la solution Zoom est plus logique, et s’impose comme un choix de continuité. Toutefois, la confiance que de nombreuses institutions d’enseignement supérieur ont fait à cet outil peut interroger.

Plus largement, le cas de Zoom illustre la tension inhérente aux logiciels de télécommunication, où deux logiques s’affrontent. D’une part les logiciels propriétaires, qui ont généralement intérêt à optimiser les configurations pour les acheteurs – il s’agit typiquement du cas de Zoom, qui permet aux managers de voir ce que font les employés en visio-conférence. D’autre part, les logiciels dits open source, généralement développés par la communauté, plus ouverts et transparents, puisque le code en lui-même est disponible au public. Ces outils présentent l’inconvénient d’être plus lents à développer et donc de généralement moins bien répondre aux besoins des entreprises – surtout en situation de crise. Dans les domaines de la messagerie et de la communication, on commence toutefois à voir des logiciels open source progressivement remplacer les outils traditionnels : citons Signal ou Jitsi par exemple¹².

Alors que la crise du coronavirus, dont l’ampleur a pris le monde par surprise, oblige un grand nombre de personnes à passer par le télétravail, c’est une problématique que les acteurs doivent se réapproprier pour être mieux capables de maîtriser les outils, afin de, petit à petit, glisser vers l’open source. Si cette prise de conscience se généralise, le télétravail pourrait échapper à la logique de réplication des monopoles observable chez les GAFA.