Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Chiffrement : l’ONG Consumer Watchdog s’attaque aux fausses allégations de Zoom

Zoomission
Droit 4 min
Chiffrement : l’ONG Consumer Watchdog s’attaque aux fausses allégations de Zoom
Crédits : Assemblée nationale

L’organisation de défense des consommateurs dépose plainte contre la solution de visioconférence, devenue populaire avec le confinement. Elle lui reproche les fausses allégations sur un prétendu chiffrement de bout-en-bout.

« Pour se distinguer de ses concurrents et attirer de nouveaux clients, Zoom a débuté par des publicités vantant l’usage de chiffrement de bout-en-bout ». Par ces messages, « elle s'est imposée comme une solution sûre, sécurisée et fiable pour les consommateurs et les secteurs en quête d’une sécurité élevée. »

Faux sentiment de sécurité, anesthésie des consommateurs, répond l’ONG Consumer Watchdog, qui a décidé de porter plainte contre l’éditeur de la solution. « La réalité, affirme-t-elle, est que Zoom est, et a toujours été, capable d'intercepter et d’accéder à toutes les données que les utilisateurs transmettent sur sa plateforme – soit tout le contraire d’un chiffrement de bout-en-bout ».

zoom chiffrement bout en bout
Crédits : Zoom.us (4 novembre 2019, sur Archive.org)

Fausse qualité, mais vrai succès en bourse

Dans les 18 pages de sa plainte, elle prend soin de noter que la société est valorisée à 70 milliards de dollars. Cependant, avec ces fausses promesses, l’éditeur aurait violé le Columbia Consumer Protection Procedures Act qui interdit les pratiques commerciales trompeuses.

Selon le Code du District de Columbia, les personnes reconnues coupables risquent des dommages et intérêts ou une sanction de 1 500 dollars par violation, versés aux consommateurs, outre la prise en charge des frais d’avocats et des dommages et intérêts cette fois punitifs. 

Et l’association de ne pas se priver de relever que Zoom, si elle est régie par les lois de l’État du Delaware, dispose de serveurs en Chine, qu’elle entretient des liens avec ses dirigeants et y emploie plus de 700 employés.

Fin mars, le site The Intercept soulignait déjà que Zoom n’utilise pas de chiffrement de bout-en-bout des données, mais de la connexion (Transport Layer Security). Ce n’est que récemment que la société a promis une mise à jour d’abord pour ses clients payants, puis finalement pour l’ensemble des utilisateurs  

« Ces promesses de sécurité améliorée ne surgissent qu'après que l’éditeur ait été confronté à des réactions négatives » regrette l’ONG. Dans le même temps, la ville de New York a interdit aux écoles d’utiliser Zoom en raison de ces questions de confidentialité et de sécurité . Des sociétés comme SpaceX ont suivi le mouvement. 

Une application populaire en France, mais décriée par l’ANSSI

En France, la solution a été régulièrement utilisée par les députés et sénateurs dans le contexte de la crise du Covid-19. Au même moment, les messages d’alerte ont été multipliés.

Ce 27 mai, Guillaume Poupart, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) relevait que « le développement du télétravail par des outils non maîtrisés a par ailleurs généré de nouveaux risques majeurs. Les outils de visioconférence non européens tels que Zoom par exemple, peu sécurisés et régis par des réglementations non européennes comme le Cloud Act, sont inadaptés aux échanges sensibles ».

« Force est de reconnaître que nous n’étions pas prêts à répondre au besoin de visioconférence révélé par la crise » admettait alors le numéro un de l’ANSSI. « Des solutions qui fonctionnent ne sont pas sûres, d’autres garantissant la sécurité manquent de fonctionnalité, mais je suis convaincu qu’il est possible, même si cela a nécessairement un coût, de développer des outils à la fois maîtrisés et fonctionnels ».

Pour les plus hautes autorités de l’État, « nous avons développé depuis plusieurs années un réseau de visioconférence sécurisé au niveau confidentiel défense qui s’est avéré bien utile et grâce auquel des conseils de défense et des conseils des ministres se sont tenus. Il serait certainement possible d’organiser des auditions à huis clos sécurisées à l’Assemblée nationale, mais cela exigera une volonté et des moyens. Si elle est sollicitée, l’ANSSI aidera volontiers à garantir la sécurité d’un tel système ».

Quelques jours plus tôt, le 22 avril, lors de l’audition à huis clos du général François Lecointre, chef d’état-major des Armées en commission de la défense, la présidente Françoise Dumas indiquait à titre liminaire aux participants que « si cette audition se tient à huis clos, les technologies que nous utilisons aujourd’hui ne nous permettent pas de garantir la confidentialité absolue de nos propos. Souvenons-nous en lorsque nous prenons la parole... ».

Le service de l’informatique de l’Assemblée nationale lui avait cependant indiqué la mise à disposition d’un outil « plus sécurisé », « fourni par Orange, une entreprise française ». Une solution qui fonctionne avec du matériel Huawei, constatait le député Fabien Lainé lors de l'audition du 27 mai.

29 commentaires
Avatar de carbier INpactien
Avatar de carbiercarbier- 18/08/20 à 08:32:52

La plainte est justifiée mais une partie de l'angle d'attaque est faux.

Les gens et les entreprises ne se sont pas tournés vers Zoom pour une question de sécurité, mais de praticité et de qualité vis à vis de ses concurrents directs.
A l'heure où des dizaines de millions d'employés se sont retrouvés confiné en même temps de part le monde, il fallait une solution capable de supporter la charge et rapide à mettre en oeuvre. Ce n'est pas une excuse, mais parler de choix uniquement sous l'angle de la sécurité me parait faux.

Avatar de TexMex Abonné
Avatar de TexMexTexMex- 18/08/20 à 08:50:58
carbier

Ce n'est pas ce que cela veut dire. Que le logiciel soit attrayant ou pas; un argument est avancé qui est celui de la sécurité. Il faut tout simplement tenir la promesse. Il n'aurait probablement pas eu le même succès sans cet argument. C'est l'objet de la plainte.

Avatar de carbier INpactien
Avatar de carbiercarbier- 18/08/20 à 09:01:04

TexMex a écrit :

Ce n'est pas ce que cela veut dire. Que le logiciel soit attrayant ou pas; un argument est avancé qui est celui de la sécurité. Il faut tout simplement tenir la promesse. Il n'aurait probablement pas eu le même succès sans cet argument. C'est l'objet de la plainte.

Ce qui est faux: l'argument de la sécurité n'a certainement pas été l'un des plus importants quand il a fallu basculer un max de monde en visio avec une solution qui fonctionnait immédiatement sans freeze et autres joyeusetés.
Peut être suis-je dans le faux, mais dans ce cas l'association aurait du procéder au minimum à un sondage dans les entreprises pour connaitre leurs critères de choix.

Edit: d'ailleurs ces "problèmes" sur Zoom ont été rendus publiques bien après le confinement général (pas aux US mais en Europe) alors que la solution avait été massivement adoptée.

Édité par carbier le 18/08/2020 à 09:02
Avatar de Mihashi Abonné
Avatar de MihashiMihashi- 18/08/20 à 09:27:13
carbier

Ayant eu l'occasion de l'utiliser, les arguments de praticité et de qualité sont difficiles à tenir… :transpi:

Avatar de carbier INpactien
Avatar de carbiercarbier- 18/08/20 à 09:37:33
Mihashi

Non seulement je l'ai utilisé mais j'ai pu le comparer à d'autres solutions (internes ou imposées par nos clients) et je n'ai clairement pas la même conclusion que toi.
Dans ce genre de solution, il faut voir son utilisation, mais aussi celle de ton interlocuteur qui n'a pas forcément la même connexion ou le même environnement que toi.

Avatar de Mihashi Abonné
Avatar de MihashiMihashi- 18/08/20 à 09:41:08
carbier

Ben quand ça marche pas aléatoirement, pour plusieurs personnes avec des environnement différents dans un groupe d'une dizaine de personnes, c'est vite vu…

Avatar de haelty Abonné
Avatar de haeltyhaelty- 18/08/20 à 10:13:36
carbier

Et donc, on peut faire de la publicité mensongère, sous prétexte que c'est probablement pas les points sur lesquels on a menti délibérément qui ont poussé des gens à utiliser notre produit ?

Avatar de TexMex Abonné
Avatar de TexMexTexMex- 18/08/20 à 10:17:22
carbier

Tu t'obstines. Je ne dis pas que c'est l'unique argument. C'est un des arguments dont on se préoccupe (enfin quand on arrête d'être crétin 5 minutes). Ce qui veut dire qu'il est éliminatoire.

Entre : "Venez nous acheter notre produit qu'il est beau tout plein. Et en plus il est sécure."
Et: " Venez nous acheter notre produit qu'il est beau tout plein. Mais pas très sécure. "
Tu prends quoi ?

Même si ce n'est pas mentionné n'importe lequel des admins de SI qui a deux neurones entre les oreilles se DOIT de vérifier. Même s'il ne peut pas le faire complètement ou avec peu de moyens. Au moins depuis sa fenêtre il aura fait le boulot. Et du coup il élimine le truc vite fait si y'a problème.

L'argument de la sécurité est balancé à tort et à travers par les marketeux pour plusieurs raisons:

  • il rassure
  • il est incontournable (sinon le produit se fait éliminer)
  • il fait tech-lulz-StarUpNation à la pointe de la techno connerie
  • il est difficile a vérifier pour qui ne sait pas s'y prendre (et celle la... mon dieux)

Pas besoin de sonder les entreprises sur leur critère de choix. La "Sécurité" avec notamment le RGPD engage la responsabilité de ses managers (qui ne cessent d'essayer de se déresponsabiliser). Donc ces derniers doivent forcément y penser. Sinon ça finira par taper sur les doigts.

Cette association ne fait que faire une plainte pour "publicité mensongère" mais outre atlantique avec les règles correspondantes. Et c'est la bonne approche. Le vendeur annonce une sécurité de bout-en-bout, y'en a pas => procès.

Édité par TexMex le 18/08/2020 à 10:18
Avatar de Macarie Abonné
Avatar de MacarieMacarie- 18/08/20 à 11:06:05

Même si ce n'est pas mentionné n'importe lequel des admins de SI qui a deux neurones entre les oreilles se DOIT de vérifier. Même s'il ne peut pas le faire complètement ou avec peu de moyens. Au moins depuis sa fenêtre il aura fait le boulot. Et du coup il élimine le truc vite fait si y'a problème.

Perso j'ai déjà remarqué un soucis autre, le patron qui dit "installe moi ca" a l'admin sys et qui ignore royalement les avertissements de son administrateur (nombre de fois que j'ai pas vu l'admin chef dire au boss que what's app et messenger était une très mauvaise idée pour les communications d'entreprise et que le patron s'obstiner a balancé des infos hyper sensible chez facebook :/)

Fraudais aussi que l’Europe balance une loi qui peut punir une entreprise qui ne respecte pas un minimum de sécurité.

Sans parlé de certaine école qui n’apprennent meme pas aux étudiants (dev et admin sys) le minimum de la sécurité réseau et tu te retrouve avec des réseaux troué de partout avec des outils comme zoom sans sécurité (et que l'admin pense qu'il l'est car il est "incompétent" au niveau de la sécurité).

Avatar de the_Grim_Reaper INpactien
Avatar de the_Grim_Reaperthe_Grim_Reaper- 18/08/20 à 11:46:39
carbier

Je vois bien les particuliers faire du Zoom sans regarder les points de sécurité, c'est un fait.

Je vois très mal une société à partir d'une certaine taille ou dans certains secteurs (OIV ?) faire l'impasse sur ce genre de choses.

Annoncer "les appels et messages échanges entre vous et votre/vos interlocuteur(s) ne sont connus que de vous" et en fait "c'est par contre open bar pour nous et tous les mecs assez calés ou équipés pour sniffer du TLS" c'est pas la même.

Il n'est plus possible de commenter cette actualité.
Page 1 / 3