Utilisateur de ZOOM depuis 3 semaines pour mes enseignements en distanciel, car c’est pour moi la solution la plus performante pour ce que je souhaite faire avec mes étudiants, j’ai été surpris ces derniers temps de recevoir des messages alarmistes, avec des titres plus catastrophiques les uns que les autres du type “Zoom : les mots de passe de 500 000 comptes piratés sont en vente sur le dark web” qui m’enjoignaient même en tant qu’utilisateur de ZOOM de changer immédiatement mon mot de passe pour éviter un piratage.
Cela faisait suite à des mails de collègues, relayant des problèmes de sécurité avec ZOOM essentiellement sous Mac OS ou Windows. Utilisateur de Linux depuis toujours (étudiant je suis tombé dans la marmite Unix), j’avais réagi dans un premier temps de façon humoristique en répondant que les problèmes de sécurité du type “Zoom is malware’: why experts worry about the video conferencing platform” touchait essentiellement le coté obscure de la galaxie informatique: l’empire Apple et Microsoft, et que la république Unix n’était pas concernée
Cependant la répétition de ces mails alarmistes m’a fait me pencher sur le problème, qui prenait de plus en plus des allures d’INFOX, malheureusement relayé par des institutions: CNRS, GOOGLE, FBI, ….. (dont certaines réagissaient sur des principes (mal compris) de précaution, mais d’autres avec des arrières pensées). Cette chasse aux sorcières me laissait un peu sans voix, surtout dans un milieu scientifique où la raison et l’analyse objective devrait être de mise. En y réfléchissant, cela montre simplement que nous scientifiques sommes des êtres humains comme les autres, avec nos propres angoisses et nos peurs irrationnelles. Par contre, en tant que scientifique je me sens aussi capable d’analyser un problème de façon la plus objective possible, et surtout de faire la part des choses. En particulier l’analyse de problèmes complexes ne permet pas en général de donner une réponse binaire: oui ou non, comme notre société actuelle avec ses moyens de communication instantanée a trop tendance à privilégier.
Les origines
Zoom est une société spécialisée dans la viso-conférence pour l’enseignement en distanciel. Avant le confinement elle comptait 10 millions d’utilisateurs, essentiellement sur abonnement dans des institutions de formations à distance ou dans des sociétés. La solution technique mise en oeuvre était, et est toujours la plus performante du marché et la plus simple d’utilisation. Le problème de sécurité ne se posait pas vraiment, puisque l’accès était contrôlé par les institutions utilisant la solution ZOOM. La version gratuite était limitée et destinée essentiellement à tester la solution.
Au début de la crise du COVID‘19, la société a décidé de lever les limitations de sa solution gratuite, avec sans doute un objectif de promotion. Et effectivement, le nombre d’utilisateurs a été très rapidement multiplié par 10, avec en particulier le développement des cours en distanciels par les établissements d’enseignement. Ce que n’avait sans doute pas prévu ZOOM, c’est que sa solution allait être utilisée par des particuliers qui n’avaient aucune idée sur la sécurité informatique et sur les gestes barrières élémentaires en informatique indispensable quand on utilise internet. D’autre part cette masse énorme d’utilisateurs a attirée le coté sombre d’internet: le dark net et ses pirates informatiques.
Les faits: les failles de sécurité de ZOOM
Comme indiqué plus haut, la solution ZOOM n’a pas à la base de système d’authentification fort des personnes qui suivent la réunion. Donc l’utilisation de ZOOM par le grand public, qui n’a aucune notion du fonctionnement d’internet et des gestes élémentaires de sécurité sur internet, a conduit à des failles de sécurité, qui dans tous les cas reportés étaient dus à des erreurs humaines!!!
Relayés par des médias plus soucieuses du sensationnelle que d’une analyse objective, on a vu apparaître des titres comme: les mots de passe de 500 000 comptes ZOOM piratés sont en vente sur le dark web sur phoneandroid, publication plus intéressée par les titres accrocheurs pour attirer les internautes (pour faire de la pub). Même des journaux sérieux (que je respecte) comme Libération ont titré Données personnelles : l’application de visioconférence Zoom est-elle intrusive ? , mais avec une analyse pour le moins contestable (l’article de Libération est d’ailleurs signé par des étudiants de l’École de journalisme de Toulouse). Cependant en cherchant sur le web, on trouve des analyses plus mesurées et plus exactes. Parmi celles ci je vous livre les conclusions de l’enquête de Jérome Colombain sur France Info du vendredi 17 avril:
Des précautions à prendre par Jérome Colombain de FranceInfo
L’entreprise (ZOOM) fait beaucoup d’efforts aujourd’hui pour sécuriser l’application. Il y a eu des mises à jour. La première précaution est donc d’effectuer les mises à jour proposées, sur son ordinateur ou son smartphone. Ensuite, certains problèmes viennent des utilisateurs eux-mêmes. Récemment, les identifiants de 500 000 comptes Zoom ont été découverts sur internet. En fait, il s’agirait des identifiants et mots de passe de personnes qui utilisent toujours les mêmes partout.
Concernant le zoom bombing, c’est-à-dire le fait que des intrus s’invitent dans les conversations, plusieurs précautions sont à prendre également : ne pas diffuser les liens de connexion sur les réseaux sociaux, activer des mots de passe pour les sessions vidéo et les communiquer aux invités un par un et activer la fonction “salle d’attente” qui permet de filtrer les gens lorsqu’ils se connectent.
De même, sur les sites anglos-saxons un peu sérieux, on trouve une analyse plus mesurée par exemple sur Tom’s hardware: Zoom privacy and security issues: Here’s everything that’s wrong (so far).
Ironiquement le pentagone utilise Zoom (Zoom is officially approved for use in unclassified situations by troops, DoD employees, and contractors) comme le montre l’article suivant:
The Pentagon Is Using Zoom. Is it Safe?,
article qui ne nie pas non plus les problèmes, mais ceuxi sont gérables et surtout ne doivent pas servir à alimenter l’hystérie collective et la théorie du complot.
Conclusion
- Doit on continuer à utiliser ZOOM ?
pour moi la réponse est clairement oui, à condition d’observer les gestes barrières de base sur internet, trop souvent méconnus.Dans ces conditions il n’y a pas plus de risques à utiliser ZOOM que n’importe quelles autres applications propriétaires du web de Google, Amazon, Apple ou Microsoft.
- Faut il par principe de précaution interdire l’utilisation de ZOOM ?
pour moi la réponse est non. Il est plus important à mon sens d’éduquer les gens pour qu’ ils utilisent les gestes barrières simples sur internet, que d’interdire tel ou tel outil parce que mal utilisé il a des failles de sécurité, Je ferais juste remarquer aux défenseurs du principe de précaution, qu’ils devraient aller jusqu’au bout de leurs logiques et proscrire toute utilisation de systèmes et logiciels propriétaires non libres (donc leur beaux ordinateurs portales sous Mac OS ou sous Windows, leurs derniers smartphones derniers cris) et n’installer et n’utiliser que des logiciels libres: Et je peux vous prédire le résultat à l’avance !!!
- Faut il rechercher une alternative à ZOOM ?
pour moi la réponse est oui, en particulier une alternative libre, et c’est ce que nous essayons d’évaluer avec la solution libre Big Blue Button. Mais il faudra tester la qualité de la solution, en particulier avec des classes importantes de 50 à 60 étudiants, et non pas se baser sur de fausses bonnes raisons!!
En attendant, ne vous laissez pas attirer par les sirènes alarmistes et anxiogènes qui foisonnent en cette période de confinement. Mais essayez d’être positif et en tant qu’enseignant essayez de participer à l’effort de formation de nos étudiants, qui est le véritable challenge par les temps qui courent (même en utilisant ZOOM )
L’opinion dans ce billet n’engage évidemment que son auteur et vous êtes libre de ne pas la partager !!!!
PS: des exemples de gestes barrieres sur internet sont décrits ici