En une semaine, Zoom, valorisée à près de 30 milliards de dollars, s’est retrouvée dans l’œil du cyclone pour avoir perdu des centaines de milliers de données personnelles. (Photo: Shutterstock)

En une semaine, Zoom, valorisée à près de 30 milliards de dollars, s’est retrouvée dans l’œil du cyclone pour avoir perdu des centaines de milliers de données personnelles. (Photo: Shutterstock)

L’application n°1 de vidéoconférence a vécu une semaine difficile depuis que le FBI a lancé une alerte et la justice américaine une enquête, et que Bleeping Computer a montré une autre possibilité de piratage. Le «Zoombombing», ou comment ridiculiser le leader mondial.

Eric Yuan est un «self-made man» comme l’Amérique les aime. Un Chinois qui obtient un visa, à la fin des années 1990, pour quitter le Shandong, à l’est de la Chine, et aller travailler chez Webex. Et qui devient le CEO d’une start-up valorisée à 16 milliards de dollars, en avril dernier, à son entrée en bourse, jusqu’à talonner le géant Uber à près de 30 milliards de dollars.

À la tête de Zoom, solution numéro un, pour Gartner par exemple, de vidéo et téléconférence, Yuan avait, le premier, saisi l’impact potentiel du coronavirus. Dès la mi-février, en businessman malin, l’entrepreneur augmente le temps d’utilisation gratuit de sa solution. Le succès est immédiat: au 15 mars, plus de 600.000 nouveaux utilisateurs ont téléchargé la solution, les clients se bousculent et préfèrent souvent l’Américain à Skype, dont la qualité de transmission est inégale…

Problème, ces nouveaux utilisateurs et tous ceux qui ne sont pas habitués n’ont pas vu que l’accès aux meetings n’était pas protégé par un mot de passe… Et le code d’accès à une réunion de Zoom est une adresse à dix chiffres, mettons «7637237828», relativement facile à récupérer pour des bots automatisés.

Et boom. . L’agence américaine indique que des individus se sont glissés dans des conférences scolaires. Le début officiel du «Zoombombing». Parfois, en pleine téléconférence, les hackers remplacent le fonds par une image porno ou de la propagande néonazie, parfois ils donnent des renseignements privés sur un professeur, souvent ils écoutent le plus discrètement possible ce qui s’y dit. .

Facebook, grand gagnant…

Lundi aussi, une association de défense des consommateurs dépose une plainte contre la société californienne: un bout de code de l’application sur iOS, le système d’exploitation d’Apple, permet de transférer toutes les données vers le géant et ami Facebook…

Et comme les procureurs sont aussi en campagne électorale, aucune chance que le sujet reste sous le tapis le temps d’y remédier.

Troisième problème, : si un pirate d’une réunion lance un lien et que quelqu’un clique sur le lien, un membre de l’entreprise ou de l’école, les attaquants ont directement accès à ses identifiants sur Windows. La porte ouverte à l’infection généralisée de toute l’entreprise.

Il y a déjà quelques jours que Yuan a réuni tout le monde à San Francisco. Sans attendre ces deux communications, Zoom a déjà révoqué les accès de Facebook à son SDK.

«Nous avons initialement mis en place la fonctionnalité ‘se connecter via Facebook’ en utilisant le SDK Facebook pour iOS afin de fournir à nos utilisateurs un autre moyen pratique d’accéder à notre plate-forme. Cependant, nous avons été informés le mercredi 25 mars 2020 que le SDK de Facebook recueillait des informations non nécessaires à la fourniture de nos services. Les informations collectées par le SDK Facebook ne comprenaient pas d’informations et d’activités liées aux réunions telles que les participants, les noms, les notes, etc., mais plutôt des informations sur les appareils telles que le type et la version du système d’exploitation mobile, le fuseau horaire de l’appareil, le système d’exploitation de l’appareil, le modèle et l’opérateur de mobile de l’appareil, la taille de l’écran, les cœurs de processeur et l’espace disque. La confidentialité de nos clients est incroyablement importante pour nous et c’est pourquoi nous avons décidé de supprimer le SDK Facebook de notre client iOS et avons reconfiguré la fonctionnalité afin que les utilisateurs puissent toujours se connecter à Facebook via leur navigateur. Les utilisateurs devront se mettre à jour avec la dernière version de notre application qui est déjà disponible à 14h30, heure du Pacifique, le vendredi 27 mars 2020, pour que ces changements soient effectifs et nous les encourageons vivement à le faire», précise le communiqué du géant.

90 jours pour patcher

Sauf que rien ne garantit que Zoom ait fait le nécessaire auprès de Facebook pour vérifier que toutes les données récupérées par le réseau de Mark Zuckerberg aient été supprimées, dit l’avocat des consommateurs, Robert Cullen.

Pourquoi le FBI et la justice se saisissent-ils de l’affaire alors que Zoom avait annoncé régler le problème la veille? Parce que ce n’est pas la première fois que la solution, utilisée au Luxembourg,  est dans l’œil du cyclone: en juillet 2019, des hackers avaient informé la start-up combien il était possible de prendre le contrôle des webcams utilisées pendant ces vidéoconférences.

Seulement à l’époque, il avait fallu 90 jours à Zoom pour réagir et corriger le problème.

Cette semaine, a assuré Yuan dans un nouveau communiqué de presse, la société s’est remis à coder et à corriger tout ce qui peut l’être, pour éviter la désaffection alors que la crise et le confinement de la moitié de la planète est le moment idéal pour conforter sa position. Ou la détruire.

L’alternative BigBlueButton

Au Luxembourg, le CEO de Securitymadein.lu, Pascal Steichen, est clair: la meilleure solution est d’aller voir est aussi celle que pousse Paolo Vecchi depuis des semaines, pour aider des professeurs face à la crise du coronavirus en Italie ou lors du Privacy Salon au Luxembourg.

«Cela a commencé avec seulement quelques enseignants, puis avec le bouche-à-oreille et certains forums d’enseignants. J’ai maintenant 100 utilisateurs, installé un serveur dédié pour un groupe d’écoles à Bolzano et aidé d’autres à configurer leurs propres serveurs afin qu’ils puissent être autonomes. Hier (vendredi 27 mars, ndlr), les gars du CIRCL ont également fait leur premier webinar MISP en utilisant un serveur dédié que j’ai configuré pour eux. Ils ont compté jusqu’à 170 participants et ils ont tous été enthousiasmés par l’expérience après avoir essayé de nombreux autres produits commerciaux», explique M. Vecchi.

«En attendant, le gouvernement français prolonge . Peut-être que le gouvernement ici voudrait faire de même pour éviter d’utiliser Whatsapp car appartenant à Facebook, cela comporte de nombreux risques. J’ai écrit sur les différents projets au ministère de la Digitalisation pour voir s’ils voulaient se joindre à l’effort.»

Ce jeudi soir, la CNIL, l’équivalent français de la CNPD au Luxembourg, a publié de nouvelles recommandations. Et invité ceux qui cherchaient une solution sûre de vidéoconférence à utiliser… Tixeo, une start-up de Montpellier, qui crypte les communications de bout en bout, et ce depuis le début de son activité.

Signe que ce que l’on sait depuis toujours – les solutions américaines ne sont pas la panacée en matière de protection ni de sécurité des données – pourrait être remis en question si on le voulait avec des solutions européennes. Là encore, l’Europe aurait tout à gagner à faire émerger un géant européen.