Confinement : victime de son succès, l'application Zoom sous le feu des critiques

En trois mois à peine, le nombre d’utilisateurs quotidiens de l'application de visioconférence Zoom a été multiplié par vingt, passant en un éclair de 10 à plus de 200 millions de personnes connectées chaque jour fin mars. Une ascension fulgurante que l'entreprise californienne, créée en 2011, doit en grande partie aux mesures de confinement mises en place dans la plupart des pays du monde. Il s'est imposé comme l'outil de référence, à travers le développement du télétravail et des apéros virtuels, qui sont devenus aujourd'hui un rituel pour de nombreux Français. Au cours des dernières semaines, des experts ont cependant relevé des fragilités en matière de protection des données des utilisateurs, ainsi que plusieurs failles de sécurité, susceptibles d’être exploitées par des pirates informatiques. 

En commençant par le fait que l'entreprise assurait que les conversations sur la messagerie de l'application étaient chiffrées de bout en bout, ce qui laissait entendre que seules les personnes dans le groupe pouvaient lire les messages. Après vérification, ce n'est aucunement le cas. Tout aussi embêtant, le New York Times a découvert de son côté que Zoom était en mesure d'associer automatiquement un utilisateur à son compte LinkedIn, via son nom et l'adresse e-mail, même s'il était anonyme ou qu'il utilisait un pseudonyme lors d'un appel. Autre problème, l'entreprise partageait des informations sur certains de ses utilisateurs avec des applications tierces, notamment Facebook. Enfin, Zoom a dû admettre qu’une partie des données des appels passés depuis les Etats-Unis avaient par accident transité par ses infrastructures en Chine.

Un sacré retour de bâton, après l'emballement. "Les développeurs de Zoom ont tout fait pour simplifier au maximum l’accès à leur plateforme, en négligeant parfois les conséquences que cela pourrait avoir en matière de sécurité pour les utilisateurs", souligne Gérôme Billois, expert en cybersécurité au cabinet Wavestonne. Selon lui, pour ne pas sombrer, l'entreprise va devoir montrer patte blanche. "En raison de son succès, Zoom est aujourd'hui sous le feu des projecteurs. Tous les acteurs de la sécurité informatique passent au crible leurs lignes de codes pour y débusquer des failles de sécurité. Il est fort probable que de nouvelles failles soient révélées dans les prochains jours. Et elles ne se régleront pas toutes d'un claquement doigt", complète-t-il. 

Au cours des derniers jours, plusieurs entreprises et organisations, comme la Croix-Rouge, ont commencé à boycotter l'application. En France, la direction interministérielle du numérique "déconseille fortement" son usage aux fonctionnaires, tout comme le gouvernement de Taïwan. Aux Etats-Unis, Google et Tesla, ainsi que le Sénat ou encore le département de l’éducation de New York en ont fait de même. Outre-Atlantique, l'affaire est prise très au sérieux. Les procureurs d'au moins trois Etats américains (Connecticut, New York et Floride) enquêtent actuellement sur les pratiques de l'entreprise en termes de protection de la vie privée et de sécurité. 

Et pour cause, comme en témoigne Gérôme Billois. "Potentiellement, tous les fichiers qui ont été échangés via l’application, jusqu’à il y a une semaine, peuvent finir un jour ou l’autre sur Internet". Pour notre expert, le procès qui est fait à Zoom met également en lumière l'amateurisme des entreprises en matière de sécurité informatique. "Dans notre jargon, c'est ce qu'on appelle le Shadow IT, c'est-à-dire le fait d'utiliser des logiciels sans l'approbation au préalable de la direction technique. Face à l'urgence et au manque de pratique, beaucoup d'entreprises ont opté pour l'application Zoom, un outil gratuit en ligne et simple à installer pour les employés. Or, il s'avère au bout du compte que la confidentialité n'était aucunement garantie à l'utilisateur", pointe-t-il.

Après une semaine noire, l'entreprise californienne a réagi en annonçant jeudi 9 avril le déploiement d'une mise à jour de sécurité, comportant plusieurs nouvelles fonctionnalités. Désormais, les animateurs d'une visioconférence sur Zoom disposent d'une fonction "Security", qui permet rapidement d'évincer des participants, de limiter leur nombre, de les mettre en attente, ou d'éviter qu'ils ne partagent des contenus. L'identifiant des conversations est désormais masqué, pour empêcher des importuns de s'y inviter. Enfin, l'installation d'un mot de passe est maintenant proposée par défaut. 

Cette série de mesures fait notamment suite à la vague de "ZoomBombings" qui a accompagné l'expansion éclair de l'application californienne. Les médias s'en sont fait largement l'écho. A plusieurs reprises, des réunions, des soutenances de thèse, des cours ou même des cérémonies religieuses transmises via Zoom ont été perturbés par des participants pirates, diffusant des images pornographiques ou des propos haineux. Une nouvelle forme de harcèlement désormais popularisée sous le nom de "ZoomBombing".  De quoi écorner encore un peu la réputation de l'application. 

Pour redorer son blason, l'entreprise californienne pourra compter sur une pointure, en l'occurrence l'ancien directeur de la sécurité informatique de Facebook, Alex Stamos. Une nomination censée rassurer les investisseurs. "Zoom a fait preuve de réactivité. L'entreprise a pris en compte tous les problèmes de sécurité qui lui ont été signalés. Elle a reconnu publiquement ses tords, ce qui témoigne de son sérieux, estime pour sa part l'expert en cybersécurité Bastien Robert. Zoom a même annoncé la suspension de la fonctionnalité de partage de fichiers de son application, dans le but de renforcer la sécurité du système. A l'entendre, pas de quoi s'alarmer. 

"Lorsqu'on prend l'habitude d'utiliser une application, de la faire installer à ses proches, il est bien souvent difficile d’en changer par la suite. Donc, si vous êtes un particulier et que utilisez Zoom, continuez. Vous ne risquez rien de bien méchant", soutient-il. Côté business, c'est un peu différent. "Cela dépend vraiment de l’objet de la conversation. Si les informations sont de nature sensibles, il vaut mieux privilégier un autre canal, plus sécurisé. En revanche, s'il s'agit simplement de prévenir votre collègue que vous partez prendre un café. Dans ce cas, le risque est assez limité ", explique Baptiste Robert.

Devant l'emballement suscité par la vague de nouveaux utilisateurs, Zoom a vu son action bondir à près de 160 dollars le 23 mars, soit 100 dollars de plus que lors de son introduction, le 18 avril 2019. Mais en raison de ses multiples déboires, elle a depuis perdu près du quart de sa valeur. Le PDG de l'entreprise californienne, Eric Yuan, a bien conscience de l'enjeu. Dans un entretien au Wall Street Journal, il l'a même dit : "Si on se plante à nouveau, c’est foutu pour nous !". 

Pour Bastien Dubois, l'entreprise californienne est toutefois suffisamment solide pour se relever après la tempête. "Zoom est une licorne, autrement dit une entreprise valorisée à plus d'un milliard de dollars. Bien avant le confinement, son application était déjà très utilisée dans la Silicon Valley. Son succès retombera peut-être auprès des utilisateurs du service gratuit. Mais ceux qui ont souscrit à un abonnement premium continueront de l'utiliser après la crise sanitaire. Et ce sont eux qui rapportent de l'argent et que Zoom souhaitent absolument ne pas perdre", souligne-t-il.