[ For the English version, click here ]
Cet article a été publié hier, mais a été mis à jour
Comme pour tout en cybersécurité, choisir Zoom dépend totalement du
modèle de menace de l’individu
8 avril 2020 (Bruxelles, Belgique) – La technologie a permis à l’extraordinaire de devenir quotidien. Et nous en avons appris les inconvénients. Mais après avoir vécu les différents imbroglios sur Facebook sur la façon dont l’IA, les stéroïdes de la tech, pouvaient manipuler le comportement humain à grande échelle et lancer des cyber-attaques permettant une utilisation malveillante à grande échelle par les entreprises, les gouvernements et les mauvais acteurs, nous avons agi. Plus jamais nous ne serions soumis aux machinations de trolls, des assoiffés de gain, de gouvernements étrangers, etc. parce que la cybersécurité serait dorénavant la priorité de tout développement technologique et …
Oh … attendez. Vous dites que nous n’avons rien fait ?
Zoom a fait l’objet d’un examen approfondi au cours des deux dernières semaines après que la crise du COVID-19 ait entraîné une augmentation du nombre d’utilisateurs de sa plateforme de vidéoconférence. Elle est passée de 10 millions à plus de 200 millions d’utilisateurs quotidiens au cours des dernières semaines (215 millions en moyenne la semaine dernière). Et à juste titre. Mais il devrait être possible de mener ses réunions et ses discussions sans violation de la vie privée, ni menace de “Zoom-bombing”, qui a assailli le site. En fait, il y a eu une longue liste de problèmes et je ne vais pas noter chacun d’entre eux. Mais voici les principaux problèmes qui ont provoqué la pluie de critiques :
– On a découvert que Zoom utilisait une fonction d’exploration de données non divulguées qui faisait automatiquement correspondre les noms et les adresses électroniques des utilisateurs à leurs profils LinkedIn lorsqu’ils se connectaient – même s’ils étaient anonymes ou utilisaient un pseudonyme lors de leur appel. Si un autre utilisateur de leur réunion était abonné à un service appelé LinkedIn Sales Navigator, il pouvait accéder aux profils LinkedIn des autres participants à ses réunions Zoom à l’insu de ces utilisateurs et sans leur consentement. En réponse, Zoom a désactivé cette fonction.
– Vice a révélé que Zoom divulgue les adresses e-mail et les photos de milliers d’utilisateurs et laisse des inconnus essayer de passer des appels entre eux. En effet, des utilisateurs ayant le même nom de domaine dans leur adresse électronique (des fournisseurs de messagerie non standard qui ne sont pas Gmail, Outlook, Hotmail ou Yahoo !) sont regroupés comme s’ils travaillaient pour la même entreprise. Zoom a mis ces domaines sur liste noire.
– Le 3 avril 2020, le Washington Post a indiqué qu’il était en mesure de trouver des enregistrements vidéo réalisés dans Zoom en recherchant le modèle de nom de fichier commun que Zoom applique automatiquement. Ces vidéos ont été trouvées sur des seaux de stockage Amazon accessibles au public. Amazon et Zoom sont en train de nettoyer cela.
– Les chercheurs ont créé un nouvel outil appelé “zWarDial” qui recherche les identifiants de réunion Zoom ouverts, trouvant environ 100 réunions par heure qui ne sont pas protégées par un mot de passe. Zoom, l’EFF et d’autres ont publié des guides de mots de passe (voir le lien ci-dessous).
– Certains utilisateurs non chinois ont eu vu leurs appels acheminés par des serveurs chinois.
– Et Zoom a prétendu qu’il était crypté de bout en bout, mais les cyber-détectives ont rapidement imité un Pantomime britannique : “Oh non, ce n’est pas vrai !!”
Cela a obligé l’entreprise à faire trois aveux :
1. Non, nous ne nous sommes pas vraiment demandé « que feraient des personnes malveillantes avec nos logiciels ? ».
2. Nous n’avions pas pris de mesures puissantes en matière de sécurité et de protection de la vie privée, mais nous allons le faire maintenant en réponse aux critiques croissantes à l’égard de notre service.
3. Nous mettons en pause toutes les nouvelles fonctionnalités pour nous concentrer sur la sécurité pendant la montée en puissance du COVID-19 et nous réorientons nos ressources d’ingénierie pour nous concentrer sur nos plus grands problèmes de confiance, de sécurité et de confidentialité.
Hmm. “Que feraient des personnes malveillantes avec nos logiciels ? Y a-t-il eu d’autres technologies similaires ayant fait face à ce problème ?” Oui, sûrement des problèmes nouveaux.
D’une part, en suivant le mode de fonctionnement habituel, puisque la technologie a été conçue pour l’entreprise, elle n’a pas été endurcie contre les abus, de sorte que le “Zoom-bombing” (par exemple, faire échouer aléatoirement des appels de groupe ouverts et mettre des choses obscènes sur l’écran de tout le monde) est maintenant d’actualité.
D’autre part, sachant et voyant la montée en flèche de l’adoption par les foyers et les non-entreprises, les questions de vie privée et de sécurité n’ont pas été soulevées ? Il y a beaucoup de trolls qui s’organisent dans les coins sombres d’Internet pour trouver des personnes à maltraiter. Nous avons connecté le monde, et cela inclut toutes les mauvaises personnes.
Ce sont les deux faces d’une même pièce : vous ne pouvez pas ignorer “ce que feraient des personnes malveillantes avec notre logiciel” et les réponses seront à la fois humaines et logicielles. Beaucoup des défauts de Zoom que les gens ont trouvés ressemblent à de simples décisions produit pour faciliter l’installation et l’utilisation – par exemple, il utilise le SDK de Facebook pour que vous puissiez vous connecter avec Facebook, mais cela envoie certaines données machine à Facebook.
Oh, et ce trafic par les serveurs chinois. De nombreux cyber-détectives se sont rapidement précipités : “Nous devons supposer que l’État chinois pourra et voudra écouter tout ce qu’il veut !”. À son honneur, Zoom essaie de répondre assez rapidement à la (plupart) de ces préoccupations, et certaines d’entre elles peuvent être exagérées. Il semble assez stupide qu’un système scolaire l’interdise au cas où les services de renseignements chinois écouteraient des cours de théâtre. Mais je ne suis pas sûr que le cabinet britannique devrait continuer à utiliser cette méthode.
En prenant du recul, il est frappant de constater que Zoom a eu un tel impact, alors que tous les géants de la technologie ont un produit mature assez important dans ce domaine, voire plusieurs (combien d’applications de type Zoom y a-t-il maintenant chez Google ?) Mais comme l’histoire de la technologie nous l’a appris, il n’est pas aussi difficile de concurrencer ces entreprises que certains le pensent, si l’on peut trouver le bon angle. Cela m’a rappellé une interview de Drew Houston (il a cofondé Dropbox en 2007 avec Arash Ferdowsi, un autre étudiant du MIT, en tant que startup). Il disait :
Tout le monde nous a dit “il y a des douzaines de Dropbox”. Comment allez-vous faire face à la concurrence ? J’ai simplement répondu : “oui, mais utilisez-vous l’un d’entre eux ?”
Dropbox est alors entré dans l’histoire.
Il est intéressant de noter que pour la toute première fois, nous sommes témoins d’opinions différentes de la part des experts de la communauté de la cybersécurité. Certains disent qu’il est erroné de critiquer Zoom à ce moment critique où le logiciel aide les gens à faire leur travail à distance, tandis que d’autres pensent qu’il vaut mieux abandonner la plateforme pour d’autres alternatives.
Mais certains ont adopté une position neutre, concluant que le choix de Zoom dépend totalement du modèle de menace d’un individu. Et pour ceux d’entre nous qui sont impliqués dans la cybersécurité, c’est un état d’esprit compréhensible. Trop de gens traitent la cybersécurité comme s’il s’agissait d’un problème purement technique. Nous devons cesser d’y penser en termes de solution au problème, car nous ne le “résoudrons” jamais. Nous devons plutôt la considérer comme un problème de gestion des risques. Et il existe des centaines de fournisseurs de cybersécurité qui peuvent aider.
Le fait que Zoom ait conçu et mis en œuvre son propre cryptage est un signal d’alarme majeur, car les systèmes personnalisés ne sont pas soumis au même examen et à la même évaluation par les pairs que les normes de cryptage que nous utilisons tous aujourd’hui. Les problèmes de sécurité les plus importants de Zoom ont été délibérément conçus pour réduire les frictions dans les réunions, qui, par leur conception, réduisent également la confidentialité ou la sécurité. Pour les utilisateurs réguliers, le plus important est simplement de bien réfléchir à leurs besoins en matière de sécurité et de respect de la vie privée pour chaque appel qu’ils passent. La sécurité de Zoom est probablement suffisante s’il ne s’agit que de conversations informelles ou pour organiser des événements sociaux et des conférences.
Pour tout le reste qui nécessite le partage d’informations sensibles, il existe des options plus sûres comme le logiciel auto-hébergé Jitsi, Signal et Wire. J’ai utilisé 5 plateformes vidéo différentes au cours des dernières semaines.
Citizen Lab, qui a identifié certains des problèmes de sécurité les plus graves, a résumé Zoom comme cela :
Donc si vous craignez d’être Zoombombed, d’être accessible, alors définissez un mot de passe pour la réunion et verrouillez la réunion une fois que tous ceux qui doivent s’y joindre l’ont fait. Pour plus de conseils sur la manière de sécuriser les appels Zoom, vous pouvez lire le guide pratique du EFF ici.
Nous avons tous fait plus que notre part d’appels vidéo ces derniers temps et je pense que nous sommes tous assez certains que cette pratique se poursuivra pendant un certain temps encore, même lorsque la vie au-delà de la pandémie du COVID-19 commencera à revenir à la normale. Pour ceux d’entre nous qui ne l’ont pas beaucoup fait, nous avons appris de cette expérience : le contexte et la durée appropriés peuvent donner lieu à une forme de communication très efficace. De plus, comme on nous le promet depuis des années, ces plateformes nous donnent la possibilité de travailler depuis de nombreux endroits différents et, pour certains types d’événements, peuvent réduire le temps, les coûts et les tracas liés aux déplacements. Les conférences, même celles qui comptent des dizaines de milliers de participants, deviennent entièrement virtuelles. CogX, l’un de mes événements technologiques préférés, auquel 16 000 personnes ont assisté en personne l’année dernière, devient totalement virtuel cette année. Ils pourraient bien établir la norme. Deux autres conférences technologiques annonceront bientôt leurs projets virtuels.
Cela ne veut pas dire pour autant qu’ils sont un remède à tout. Comme nous l’avons tous appris, il y a des limites à ce que l’on peut obtenir par le biais des appels vidéo et parfois, les choses deviennent tout simplement gênantes. Pour les personnes qui ne travaillent pas dans de grandes organisations qui sont standardisé sur une seule plateforme de visioconférence, un autre défi est le besoin de travailler avec, d’installer et d’apprendre plusieurs applications différentes. Au cours des dernières semaines, j’ai utilisé Cisco Webex, Skype, Signal, GoToMeeting et, bien sûr, Zoom.
Soyons clairs : il y a certainement du travail qui peut être fait pour permettre et/ou améliorer l’interopérabilité entre certaines de ces plateformes. Cependant, tout comme le choix et la concurrence dans d’autres catégories finissent par créer de meilleurs produits pour tout le monde, il en va de même pour les outils de vidéoconférence, et ce pour de nombreuses raisons. Il est intéressant d’apprendre que Microsoft a été tellement effrayé par le succès de Zoom qu’il prévoit une refonte complète de Skype pour le rendre plus “Zoom like”.
Tout d’abord, comme nous avons certainement commencé à le constater et à en tirer des leçons, les choses peuvent mal tourner si trop de gens commencent à trop compter sur une seule plateforme. Mais le mérite de l’entreprise est que l’attention et l’utilisation de Zoom sont dues en grande partie au fait qu’ils ont facilité le processus souvent maladroit, douloureux et peu fiable consistant à connecter plusieurs personnes de plusieurs endroits en un appel vidéo fonctionnel. Pour de nombreuses personnes et certaines organisations, c’était suffisant, et heureusement, nous commençons à voir d’autres plates-formes de vidéoconférence améliorer ces bases essentielles pour répondre à la concurrence. C’est une victoire pour tout le monde.
Mais deuxièmement, il est également devenu de plus en plus évident (comme je l’ai noté ci-dessus) que Zoom n’était pas aussi axé sur la sécurité et la vie privée que beaucoup de personnes et d’organisations le pensaient et qu’il aurait dû l’être. Des questions sur le cryptage, aux enregistrements d’appels privés accessibles au public, en passant par l’acheminement des appels américains par des serveurs chinois, etc., Zoom est confronté à certains des choix qu’il a fait. D’autres plateformes de vidéoconférence, dont Webex et GotoMeeting, se sont concentrées sur la protection de la vie privée et la sécurité depuis un certain temps – malheureusement, parfois au détriment de la facilité d’utilisation – mais il est clair que de nombreuses organisations commencent à envisager d’autres solutions qui correspondent mieux à leurs besoins en matière de sécurité.
Troisièmement, il devient clair en utilisant plusieurs outils de vidéoconférence, que certains sont mieux adaptés que d’autres à différents types de réunions. Les mécanismes de partage et d’annotation des fichiers, par exemple, prennent des formes différentes selon les outils. En outre, certains outils sont mieux adaptés pour travailler dans le cadre d’une réunion définie en plusieurs parties, comme un événement virtuel.
Quatrièmement, le résultat est le suivant : il est très difficile de trouver un outil unique qui puisse fonctionner pour tous types de réunions, tous types de dirigeants, ou même tous types de cultures d’entreprise. Les réunions peuvent varier énormément d’une entreprise à l’autre, voire d’un groupe à l’autre au sein d’une même entreprise. Il n’est donc pas réaliste de penser qu’une seule plateforme va répondre aux besoins de tout le monde en matière de réunions virtuelles. Le choix et l’orientation restent importants et amèneront probablement de nombreuses organisations à adopter plusieurs outils de vidéoconférence différents pour répondre à des besoins de réunion différents.
Non, nous ne ferons pas autant de réunions vidéo pour toujours. Bien qu’il ne fasse aucun doute que nous ferons tous plus de réunions vidéo après la pandémie qu’avant, pour la plupart des gens le nombre total de réunions vidéo diminuera par rapport aux niveaux actuels. Je pense que les gens vont en fait attendre avec impatience les réunions en face à face, malgré les frustrations qu’elles engendrent souvent. Mais je pense aussi que nous serons beaucoup plus sensibles aux types de choses qui fonctionnent dans les réunions vidéo et qui n’ont pas besoin d’être en direct, ni de générer des frais de déplacement. Oui, nous continuerons à nous nourrir de ces pilules technologiques: