Face à l’avalanche de problème sur ses vulnérabilités, ses pratiques en matière de confidentialité ou encore sa tendance à permettre le flicage de ses utilisateurs, Zoom tente, tant bien que mal, de redorer son blason, corrigeant les failles et annonçant une série de mesures.
L’éditeur de l’outil de vidéoconférence a passé une semaine catastrophique. Le week-end dernier, Zoom tentait d’éteindre l’incendie déclenché par une enquête de Vice, enquête qui démontrait que le service partageait les données de ses utilisateurs avec Facebook. Feignant l’ignorance, l’entreprise s’empressait de supprimer le SDK de Facebook mais le mal était déjà fait, un utilisateur déposant une plainte aux États-unis tandis que la procureure générale de New York annonçait scruter de près les pratiques de Zoom.
Puis, coup sur coup, des chercheurs en sécurité découvrent d’une part que sur macOS, le client d’installation de Zoom se conduit comme un véritable malware, installant l’outil sans la moindre interaction de l’utilisateur, en utilisant des scripts de préinstallation pour décompresser l’application à l’aide d’un 7zip et l’installer directement dans Applications, et d’autre part que le service permet de dérober le login Windows d’un utilisateur.
Des failles partout
En effet, Zoom supporte les chemins UNC (Universal Naming Convention), un protocole définissant l’adresse d’une ressource sur un réseau ou une machine, distants. Ceux-ci convertissent les Uniform Resource Identifier en hyperlien, quand bien même l’URI n’est pas sécurisée. Il suffit alors d’inciter l’utilisateur à cliquer sur le lien pour que Windows expose automatiquement le nom d'utilisateur et le mot de passe chiffré à un serveur SMB distant lors de la tentative de connexion et de téléchargement d'un fichier hébergé sur celui-ci. Cette méthode permet en outre à un attaquant d’utiliser cette faille pour exécuter un script sans invite appelé à partir de ce même répertoire de téléchargement Windows.
Enfin, pour couronner le tout, le New York Times a dévoilé jeudi que, du fait d’une intégration avec l’outil Sales Navigator de LinkedIn, les membres d’une conversation était en mesure de consulter les informations du profil LinkedIn de certains de leurs interlocuteurs, quand bien même ceux-ci n’auraient pas renseigné dans la discussion leur identité réelle. « Une fois qu'un utilisateur de Zoom a activé la fonctionnalité, cette personne peut afficher rapidement et secrètement les données de profil LinkedIn - comme les localisations, les noms d'employeurs et les postes - des personnes participant à la réunion Zoom en cliquant sur une icône LinkedIn à côté de leurs noms » écrivait le NYT.
Des excuses et du changement
Bref, ça chauffe pour Zoom. Eric S. Yuan, son patron, a de nouveau été contraint de prendre la plume pour s’excuser et reconnaître « ne pas avoir pas répondu aux attentes de la communauté - et aux nôtres - en matière de confidentialité et de sécurité ». Ce que l’entreprise explique par son public historique, les entreprises. Soit un nombre limité d’utilisateurs. « Nous avons maintenant un panel d'utilisateurs beaucoup plus large qui utilise notre produit d'une myriade de façons inattendues, nous présentant des défis que nous n'avions pas anticipés lorsque la plateforme a été conçue » indique Eric S. Yuan.
Il annonce donc une série de mesures, certaines déjà mises en place, d’autres à venir. A commencer par la suppression du SDK de Facebook dès le 27 mars et la mise à jour de sa politique de confidentialité deux jours plus tard. Le CEO ajoute à cela une note de blog relative au chiffrement, reconnaissant et s’excusant d’avoir entretenu une certaine confusion en affirmant noir sur blanc que le service était chiffré de bout en bout, ce qui n’était absolument pas le cas.
En outre, la fonction de suivi de l’attention des participants, permettant à un administrateur de fliquer ses interlocuteurs, a été supprimée, de même que l’outil LinkedIn Sales Navigator. Enfin des patchs ont été déployés afin de corriger les vulnérabilités sur macOS et Windows. Dans les trois mois à venir, Zoom entend s’engager sur la voie de la sécurité et de la transparence, mettant en pause la sortie de nouvelles fonctionnalités pour se concentrer sur l’amélioration de la sécurité et réalisant des pentests ainsi qu’un audit complet avec des experts tiers et des utilisateurs représentatifs ainsi qu’un rapport de transparence sur les données collectées.