L’organisation de défense des consommateurs dépose plainte contre la solution de visioconférence, devenue populaire avec le confinement. Elle lui reproche les fausses allégations sur un prétendu chiffrement de bout-en-bout.
« Pour se distinguer de ses concurrents et attirer de nouveaux clients, Zoom a débuté par des publicités vantant l’usage de chiffrement de bout-en-bout ». Par ces messages, « elle s'est imposée comme une solution sûre, sécurisée et fiable pour les consommateurs et les secteurs en quête d’une sécurité élevée. »
Faux sentiment de sécurité, anesthésie des consommateurs, répond l’ONG Consumer Watchdog, qui a décidé de porter plainte contre l’éditeur de la solution. « La réalité, affirme-t-elle, est que Zoom est, et a toujours été, capable d'intercepter et d’accéder à toutes les données que les utilisateurs transmettent sur sa plateforme – soit tout le contraire d’un chiffrement de bout-en-bout ».
Fausse qualité, mais vrai succès en bourse
Dans les 18 pages de sa plainte, elle prend soin de noter que la société est valorisée à 70 milliards de dollars. Cependant, avec ces fausses promesses, l’éditeur aurait violé le Columbia Consumer Protection Procedures Act qui interdit les pratiques commerciales trompeuses.
Selon le Code du District de Columbia, les personnes reconnues coupables risquent des dommages et intérêts ou une sanction de 1 500 dollars par violation, versés aux consommateurs, outre la prise en charge des frais d’avocats et des dommages et intérêts cette fois punitifs.
Et l’association de ne pas se priver de relever que Zoom, si elle est régie par les lois de l’État du Delaware, dispose de serveurs en Chine, qu’elle entretient des liens avec ses dirigeants et y emploie plus de 700 employés.
Fin mars, le site The Intercept soulignait déjà que Zoom n’utilise pas de chiffrement de bout-en-bout des données, mais de la connexion (Transport Layer Security). Ce n’est que récemment que la société a promis une mise à jour d’abord pour ses clients payants, puis finalement pour l’ensemble des utilisateurs
« Ces promesses de sécurité améliorée ne surgissent qu'après que l’éditeur ait été confronté à des réactions négatives » regrette l’ONG. Dans le même temps, la ville de New York a interdit aux écoles d’utiliser Zoom en raison de ces questions de confidentialité et de sécurité . Des sociétés comme SpaceX ont suivi le mouvement.
Une application populaire en France, mais décriée par l’ANSSI
En France, la solution a été régulièrement utilisée par les députés et sénateurs dans le contexte de la crise du Covid-19. Au même moment, les messages d’alerte ont été multipliés.
Ce 27 mai, Guillaume Poupart, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) relevait que « le développement du télétravail par des outils non maîtrisés a par ailleurs généré de nouveaux risques majeurs. Les outils de visioconférence non européens tels que Zoom par exemple, peu sécurisés et régis par des réglementations non européennes comme le Cloud Act, sont inadaptés aux échanges sensibles ».
« Force est de reconnaître que nous n’étions pas prêts à répondre au besoin de visioconférence révélé par la crise » admettait alors le numéro un de l’ANSSI. « Des solutions qui fonctionnent ne sont pas sûres, d’autres garantissant la sécurité manquent de fonctionnalité, mais je suis convaincu qu’il est possible, même si cela a nécessairement un coût, de développer des outils à la fois maîtrisés et fonctionnels ».
Pour les plus hautes autorités de l’État, « nous avons développé depuis plusieurs années un réseau de visioconférence sécurisé au niveau confidentiel défense qui s’est avéré bien utile et grâce auquel des conseils de défense et des conseils des ministres se sont tenus. Il serait certainement possible d’organiser des auditions à huis clos sécurisées à l’Assemblée nationale, mais cela exigera une volonté et des moyens. Si elle est sollicitée, l’ANSSI aidera volontiers à garantir la sécurité d’un tel système ».
Quelques jours plus tôt, le 22 avril, lors de l’audition à huis clos du général François Lecointre, chef d’état-major des Armées en commission de la défense, la présidente Françoise Dumas indiquait à titre liminaire aux participants que « si cette audition se tient à huis clos, les technologies que nous utilisons aujourd’hui ne nous permettent pas de garantir la confidentialité absolue de nos propos. Souvenons-nous en lorsque nous prenons la parole... ».
Le service de l’informatique de l’Assemblée nationale lui avait cependant indiqué la mise à disposition d’un outil « plus sécurisé », « fourni par Orange, une entreprise française ». Une solution qui fonctionne avec du matériel Huawei, constatait le député Fabien Lainé lors de l'audition du 27 mai.
Commentaires (29)
#1
La plainte est justifiée mais une partie de l’angle d’attaque est faux.
Les gens et les entreprises ne se sont pas tournés vers Zoom pour une question de sécurité, mais de praticité et de qualité vis à vis de ses concurrents directs.
A l’heure où des dizaines de millions d’employés se sont retrouvés confiné en même temps de part le monde, il fallait une solution capable de supporter la charge et rapide à mettre en oeuvre. Ce n’est pas une excuse, mais parler de choix uniquement sous l’angle de la sécurité me parait faux.
#1.1
Ce n’est pas ce que cela veut dire. Que le logiciel soit attrayant ou pas; un argument est avancé qui est celui de la sécurité. Il faut tout simplement tenir la promesse. Il n’aurait probablement pas eu le même succès sans cet argument. C’est l’objet de la plainte.
#1.2
Ayant eu l’occasion de l’utiliser, les arguments de praticité et de qualité sont difficiles à tenir…
#1.3
Non seulement je l’ai utilisé mais j’ai pu le comparer à d’autres solutions (internes ou imposées par nos clients) et je n’ai clairement pas la même conclusion que toi.
Dans ce genre de solution, il faut voir son utilisation, mais aussi celle de ton interlocuteur qui n’a pas forcément la même connexion ou le même environnement que toi.
#1.4
Ben quand ça marche pas aléatoirement, pour plusieurs personnes avec des environnement différents dans un groupe d’une dizaine de personnes, c’est vite vu…
#1.5
Je suis d’accord avec toi : la sécurité n’est que rarement un argument de vente et c’est bien triste. La plupart des boîtes dans le monde qui sont passés sur Zoom l’ont fait pour des raisons de praticité.
Cela étant même si il est rapidement éludé pendant le process de vente, c’est aussi parce que les clients ont accepté « par défaut » cette « sécurité par chiffrement bout-à-bout » affichée.
Si zoom avait été honnête (et finalement en restant raccord avec ce que recherchaient réellement leur clientèle) ils n’auraient pas parlé de sécurité du tout. Il suffisait, si la question était posée de temps en temps, de former les commerciaux à dire « personne d’autre que vous, votre interlocuteur et parfois des membres accrédités de nos équipes pour des raisons de diagnostic ».
Parce que si oui bien sûr des milliers d’entreprises ont dû choisir une solution dans l’urgence parfois en retirant la sécurité de leurs critères , les arguments de vente ne disparaissent pas une fois le contrat signé sous prétexte qu’à l’époque on s’en fichait.
De plus tout ceci vient s’ajouter à des pratiques vraiment détestables de la part de Zoom : le serveur web open bar sous OSX, les exécutables à télécharger pour chaque réunion, les réunions open bar…
Ça n’enlève rien à la praticité de zoom : c’est pas fou mais je te rejoins sur le fait qu’il n’y a clairement pas mieux. En revanche depuis bien avant le confinement cette boîte n’a fait que montrer du mépris pour la sécurité la plus élémentaire en faveur de la simplicité.
Et au lieu de juste la fermer sur l’argument de la sécurité et de faire profil bas, ils ont choisi d’appliquer de la fausse sécurité marketing.
En plus l’argument était recevable : tant que les transmissions sont chiffrées, le bout en bout n’est pas forcément utile à tous si il sacrifie le côté pratique : des tonnes d’entreprises n’ont pas à craindre d’espionnage industriel de la part de Zoom / ses employés / ses partenaires et se seraient contentées d’un bon vieux TLS .
#2
Ce qui est faux: l’argument de la sécurité n’a certainement pas été l’un des plus importants quand il a fallu basculer un max de monde en visio avec une solution qui fonctionnait immédiatement sans freeze et autres joyeusetés.
Peut être suis-je dans le faux, mais dans ce cas l’association aurait du procéder au minimum à un sondage dans les entreprises pour connaitre leurs critères de choix.
Edit: d’ailleurs ces “problèmes” sur Zoom ont été rendus publiques bien après le confinement général (pas aux US mais en Europe) alors que la solution avait été massivement adoptée.
#2.1
Et donc, on peut faire de la publicité mensongère, sous prétexte que c’est probablement pas les points sur lesquels on a menti délibérément qui ont poussé des gens à utiliser notre produit ?
#2.2
Tu t’obstines. Je ne dis pas que c’est l’unique argument. C’est un des arguments dont on se préoccupe (enfin quand on arrête d’être crétin 5 minutes). Ce qui veut dire qu’il est éliminatoire.
Entre : “Venez nous acheter notre produit qu’il est beau tout plein. Et en plus il est sécure.”
Et: “ Venez nous acheter notre produit qu’il est beau tout plein. Mais pas très sécure. ”
Tu prends quoi ?
Même si ce n’est pas mentionné n’importe lequel des admins de SI qui a deux neurones entre les oreilles se DOIT de vérifier. Même s’il ne peut pas le faire complètement ou avec peu de moyens. Au moins depuis sa fenêtre il aura fait le boulot. Et du coup il élimine le truc vite fait si y’a problème.
L’argument de la sécurité est balancé à tort et à travers par les marketeux pour plusieurs raisons:
Pas besoin de sonder les entreprises sur leur critère de choix. La “Sécurité” avec notamment le RGPD engage la responsabilité de ses managers (qui ne cessent d’essayer de se déresponsabiliser). Donc ces derniers doivent forcément y penser. Sinon ça finira par taper sur les doigts.
Cette association ne fait que faire une plainte pour “publicité mensongère” mais outre atlantique avec les règles correspondantes. Et c’est la bonne approche. Le vendeur annonce une sécurité de bout-en-bout, y’en a pas => procès.
#2.3
Je vois bien les particuliers faire du Zoom sans regarder les points de sécurité, c’est un fait.
Je vois très mal une société à partir d’une certaine taille ou dans certains secteurs (OIV ?) faire l’impasse sur ce genre de choses.
Annoncer “les appels et messages échanges entre vous et votre/vos interlocuteur(s) ne sont connus que de vous” et en fait “c’est par contre open bar pour nous et tous les mecs assez calés ou équipés pour sniffer du TLS” c’est pas la même.
#3
Perso j’ai déjà remarqué un soucis autre, le patron qui dit “installe moi ca” a l’admin sys et qui ignore royalement les avertissements de son administrateur (nombre de fois que j’ai pas vu l’admin chef dire au boss que what’s app et messenger était une très mauvaise idée pour les communications d’entreprise et que le patron s’obstiner a balancé des infos hyper sensible chez facebook :/)
Fraudais aussi que l’Europe balance une loi qui peut punir une entreprise qui ne respecte pas un minimum de sécurité.
Sans parlé de certaine école qui n’apprennent meme pas aux étudiants (dev et admin sys) le minimum de la sécurité réseau et tu te retrouve avec des réseaux troué de partout avec des outils comme zoom sans sécurité (et que l’admin pense qu’il l’est car il est “incompétent” au niveau de la sécurité).
#4
On a déjà ça au niveau national avec la fameuse formule “manquement dans la sécurisation des données” (quoique peut-être que ça ne concerne que les données à caractère personnel), et on a le RGPD au niveau européen.
Le soucis c’est pas les lois, c’est le manque de moyens/volonté pour les faire respecter. Le RGPD en est un parfait exemple avec notamment la CNIL qui est décriée car jugée trop molle et/ou ne disposant pas de moyens suffisants.
Face à des sanctions non dissuasives voire inexistantes et à un risque diffus, les entreprises en viennent à une conclusion très simple : la formation du personnel à la sécurité et la mise aux normes des SI coûtent plus cher que la sanction ou la fuite/le piratage, car ils sont jugés suffisamment hypothétiques pour que ça soit calculé comme non rentable d’y inverstir.
Donc on ne change rien, car la priorité dans les dépenses c’est pas le “luxe” de la sécurité mais investir pour que l’entreprise fasse toujours plus de fric (ou fasse des emplois, comme on dit publiquement).
Et encore, ça c’est si les décisionnaires sont conscients des risques. Comme tu l’as dit, beaucoup n’en sont même pas à cette étape.
#5
Zoom interdit par le chef sécurité des moyens informatiques CNRS et par le ministère.
Ok alors on a tixeo reconnu par l’anssi.
Essayons, ouais ok ça marche. Bon une deuxième fois, arf marche pas pour certains. Qualité audio bof.
Zoom a le.merite d’être simple, utilisable par tous avec une qualité audio bonne.
Que font les utilisateurs : ben on veut bosser sans perdre notre temps avec les outils.
Malgré la connaissance du risque, la praticité à gagner.
Les outils renater, n’ont pas tenu la charge, la qualité bof. Etc
#6
Skype for business, Teams, Cisco Webex, etc. : Il existe quand même de nombreuses alternatives à Zoom. les 3 que j’ai cité sont à ma connaissance sécurisées par du chiffrement des échanges de bout-en-bout. Et pour les entreprises qui le souhaitent, les serveurs centraux de ces solutions (ceux qui gèrent les échanges initiaux de connexion) peuvent être hébergés en France ou en Europe. Des solutions clés en mains sont proposée par les fournisseurs PRO (OBS, OVH, etc.). Et les 3 que j’ai cités sont également fiables, peu gourmand en bande-passante et facile d’utilisation.
Choisir Zoom, WhatsApp, FB Messenger, & Cie, c’est pour moi de la pure feignantise.
#6.1
Skype, teams et autres ne sont pas sécurisés de bout en bout.
En fait techniquement c’est un vrai problème de sécuriser un flux vidéos entre N personnes de bout en bout en gardant la performance. Pour être performant un serveur doit faire le multiplexage des flux vidéos en prenant en compte la bande passante de chacun, ce qui n’est possible que en voyant le contenu, donc sans chiffrement de bout en bout.
Le chiffrement de bout en bout est possible mais ne passe pas à l’échelle.
J’imagine qu’il n’y a pas d’impossibilité mathématique (genre chiffrement homomorphe…Mais alors a une image toute les 5 minutes), mais je n’ai pas encore vu d’article ou d’implantation qui décrivent une solution.
#7
Et si tu lisais mon 1er commentaire avant de répondre ?
Je disais que la plainte était justifiée mais pas l’angle d’attaque qui était d’affirmer que la sécurité était la raison principale pour laquelle les utilisateurs avaient choisi cette solution.
#8
Déjà pour Skype ou Teams, il faut un compte même quand on est invité. Rien que cela est rédhibitoire pour certains. Quant aux solutions clés en main, reste à savoir le cout pour une PME. Bref, pour les grandes entreprises pourquoi pas mais cette conclusion pour les PME/TPE
#9
Je pense quand même que teams ou Skype for business s’adressent énormément aux PME , surtout avec Office 365
#10
Je n’ai pas été clair: si c’est une solution interne pas de problème… Le problème vient quand tu dois faire des visios en externe. Difficile d’imposer tel OS ou tel compte à créer à un client/prospect. Si tu n’as pas envie de créer un compte Microsoft pour tel ou tel raison, tu ne vas certainement pas le faire parceque quelqu’un n’a que Teams pour te contacter.
#10.1
On parle de choix par les DSI, qui engagent l’entreprise. Aucun employé n’a à se créer un compte sur quoi que ce soit, pas plus qu’on demande à une secrétaire de s’acheter une licence Office.
La charte informatique des entreprises qui en ont une interdisent d’aillleurs d’utiliser des logiciels non validés ou d’utiliser son poste de travail pour aller se créer des comptes ou se connecter à tout ou n’importe quoi.
Et dans de nombreuses entreprises, lorsqu’on te confie un poste nomade, tu dois signer un document complétant cette charte.
Tu crois que des entreprises utilisant Zoom le font avec la version gratuite et ses limitations ? Ce sont des choix de la direction. Avec des coûts importants.
Pour faire ces choix, on s’appuie sur les arguments des éditeurs, dont la sécurité qui doit être adaptée à l’activité. Zoom a menti sur ce point, ils sont attaqués sur ce point.
#11
Le souci, comme toujours, que ce soit pour de la visioconférence ou tout autre domaine, c’est que la France et l’Europe refusent d’investir dans des logiciels libres qui pourraient garantir notre sécurité et notre souveraineté numérique.
Et le jour où on en a besoin, c’est ballot, c’est pas à niveau. Ben ouais, mais si vous aviez investi, durant toutes ces années, dans Element, Jitsi, LibreOffice et compagnie, on aurait tout plein de solutions libres au même niveau, sinon mieux, que les offres propriétaires américaines.
#12
Il y a d’autres moyens donc non. Le serveur peut parfaitement se contenter de diriger les flux vers les abonnés sans les retoucher. Son rôle principale c’est de faire la gestion d’une sorte d’abonnement multi-cast. Pas de faire de la vidéo (mpeg, h264/5 etc.).
Simplement le débit des flux doit être correctement dimensionné entre les clients et le serveur. Donc observer régulièrement la BP “serveur - clients” pour dire au client de moduler la qualité afin de permettre de satisfaire l’ensemble. Egalement gérer les présences ce qui permet d’indiquer de baisser encore la qualité ou de la monter en fonction de qui rentre ou sort. Quand y’en a 40 dans la “salle” pas la peine de faire du 4k pour des vignettes de la taille d’un icone…
Le plus gros problème qu’aucun serveur ne peut régler c’est le débit montant des clients. Mais la… bon bin StartUp Nation avec une Flower Power qui va nous fibrer le territoire en un an. Donc c’est bon.
#13
Ton premier commentaire est à côté de la plaque sur au moins 2 points:
1/ il n’est écrit nulle part, ni dans l’article, ni dans la plainte que “la sécurité était la raison principale” blablabla. Il est dit que Zoom ment sur ses allégations au sujet de la sécurité.
2/ dans quelle entreprise ce sont les utilisateurs qui décident des outils qu’ils peuvent/doivent utiliser ? Parce que c’est d’entreprises dont on parle, pas de personnes cherchant des fonctionnalités “sympas” en se foutant de la sécurité parce qu’ils veulent juste voir leur tronche en buvant une bière devant un match de foot parce que le bistro est fermé.
#14
Décidément tu as du mal à lire et à comprendre: visio externe = visio avec des clients/prospects étrangers à l’entreprise.
Et oui dans les PME/TPE la version gratuite est utilisée car elle suffit à leurs besoins.
Compréhension de texte niveau 5e
Tu crois qu’il y a une DSI dans chaque PME/TPE ?
En parlant de bistrot…
#15
L’angle d’attaque choisi est justifié, d’autant qu’il reste plus défendable en justice vu les moyens de compréhension de cette dernière.
Manifestement c’est plus efficace que de lancer un débat sur le chiffrement des pédonazi-zoophiles tekel mort.
#16
Je répond parce que j’ai lu ton commentaire et l’article aussi ;)
D’ailleurs, tu devrais le relire parce que tu sembles avoir extrapolé certaines choses.
“elle s’est imposée comme une solution sûre, sécurisée et fiable pour les consommateurs et les secteurs en quête d’une sécurité élevée.”
Ils précisent que cela ne concerne que cette population spécifique et l’argument de sécurité est bien un argument très important pour cette population-là. Il n’est pas question de “raison principale” qui concernerait n’importe quelle potentiel utilisateur. Du coup, l’angle d’attaque ben il est bon.
On ne parle pas de la raison qui a poussé la majorité des télétravailleurs a utilisé ce service. Le service peut être très bon techniquement mais ce n’est pas le sujet de l’article. Ils ont vendu leur produit en mettant en avant des propriétés qui n’étaient pas remplies c’est tout. On s’en fout que cela n’ait pu impacté que deux pelés ou bien la grosse majorité de la base des utilisateurs de Zoom. C’est ton angle d’attaque qui est mal ajusté.
#17
Autre gros problème est aussi le débit descendant des clients. Si, comme tu le dis, il faut moduler la qualité pour satisfaire l’ensemble, ça veut dire que si sur 10 personnes, 9 ont une fibre capable de streamer du 4K sans soucis, et que N°10 se connecte avec une connexion faible et/ou instable (adsl, partage smartphone), il y a 2 choix : Soit tout le monde est downgrade en 240p, et la bonne chance si dans la vidéo il y a du texte a lire (présentation powerpoint, présentateur avec un tableau). Soit tu décide volontairement d’exclure la personne de la conférence parce qu’elle sera incapable de suivre vue que son débit ne le lui permettra pas. Dans ce cas trouver un juste milieux ça n’est pas possible, c’est tout le monde au plus petit débit.
Perso, un outils comme ça c’est non.
Quand t’en à 40 dans la salle, et que c’est une présentation, il y a probablement 39 personnes où on pourrait complètement couper le flux vidéo, mais il y en a probablement une qui devrai être transférer dans la meilleur qualité a tout les autres, sans qu’ils se gênent entre eux.
Après je dis pas que c’est infaisable, mais qu’il y a quand même pas mal d’obstacle a ce que ce genre de solution soit mis en place.
#18
En parlant d’interprétation, tu m’as l’air de faire la tienne à ta sauce en omettant la 1ere partie de l’angle d’attaque…
De toute façon les problèmes de sécurité de Zoom sont apparus bien après le confinement en Europe et la com’ dessus idem. De plus je vois mal les particuliers ou les entreprises dont le chiffrement des données est impératif se satisfaire de la communication de Zoom après la mise en avant de leurs problèmes de sécurité.
C’est même tout le contraire qui s’est passé (des exemples ont été donnés par d’autres personnes dans les commentaires): les entreprises soucieuses de la sécurité de leurs données ont toutes fui Zoom pour trouver d’autres solutions (peut être tout aussi bancale d’ailleurs)…
Je maintiens donc que l’angle d’attaque n’est pas le bon.
#19
Je sais pas quand tu as été en confinement mais les problèmes de sécurité et de pub mensongère, on en entendait à leur propos déjà à ce moment-là.