Zoom dans le viseur de la justice américaine

Photo de personnes qui sont en visioconférence

Photo de Anna Shvets provenant de Pexel

Après un premier procès en avril, la cour de Washington DC reçoit une plainte lundi 10 août de la part de l’organisation Consumer Watchdog concernant le logiciel propriétaire Zoom. Ce dernier aurait effectué de la publicité mensongère sur la sécurité des échanges en visioconférence réalisés avec la plateforme. Le porte-parole de Zoom s’est brièvement exprimé sur le sujet.

Consumer Watchdog vs Zoom : un combat pour la sécurité des données des utilisateurs

Ces derniers mois donnent du fil à retordre pour l’entreprise Zoom Video Communications. Depuis le confinement, la société fait face à une nouvelle plainte. L’organisation à but non lucratif Consumer Watchdog, qui défend les intérêts des contribuables et des consommateurs américains, a porté plainte contre Zoom Video Communications pour publicité mensongère. Un des principaux arguments de promotion de leur logiciel phare Zoom est que ce dernier s’appuie sur une technologie de chiffrement de bout en bout. Les données chiffrées transitent par un serveur central qui ne détient pas la clé pour comprendre ces données. Cela signifie que les seuls individus à pouvoir accéder aux données communiquées sont l'expéditeur et le destinataire. Or, Consumer Watchdog fait remarquer, dans sa plainte, que ce chiffrement de bout en bout n’a jamais été mis en place dans le logiciel Zoom. D’après l’organisation américaine, l’entreprise enfreindrait donc la loi sur les procédures de protection des consommateurs du district de Columbia (CPPA).

En plus de l’avertissement du FBI concernant les failles de sécurité de la plateforme au mois de mars 2020, des utilisateurs s’étaient déjà plaints une première fois en avril. La cause de cette plainte : le zoom bombing. Il s’agit d’une faille où des individus qui n’étaient pas invités à des visioconférences apparaissaient dans le salon, de façon importune, grâce au lien URL du salon. Cet incident n’a pas plaidé en la faveur de l’entreprise qui a tout de suite fait tout son possible pour sortir au plus vite une nouvelle mise à jour avec la résolution des failles de sécurité.

Cependant, cela a malheureusement été insuffisant au vu de la dernière plainte de Consumer Watchdog. L’entreprise certifie sur son site web que sa plateforme de communication est aux normes et conforme à la loi sur la portabilité et la responsabilité de l’assurance maladie (HIPPA). L’organisation reproche donc à Zoom de ne pas avoir été honnête avec l’industrie des soins et de la santé américaine, pour qui avoir une communication confidentielle sur la plateforme pendant le confinement était primordial. La plainte vise à obtenir des dommages et intérêts, à hauteur de 1500 dollars par violation faite au nom des utilisateurs de Zoom à Washington DC, ainsi qu’une ordonnance du tribunal prohibant à Zoom de publier de fausses déclarations concernant les mesures de sécurité mises en place pour assurer la confidentialité des échanges sur le logiciel. Le porte-parole de l’entreprise a déclaré que Zoom Video Communications s’engageait à apporter des améliorations continues comprenant la mise en œuvre d’un chiffrement de bout en bout. D’après un article du Washington Post, l’entreprise prévoit de déployer un chiffrement de bout en bout uniquement pour les offres payantes dans un premier temps.

Le chiffrement de bout en bout : le préconiser mais avec quels logiciels ?

Les failles de sécurité sont monnaies courantes en informatique, mais pourquoi un chiffrement de bout-en-bout de nos communications semble nécessaire à l’ère du numérique ? D’après Amnesty International, certains gouvernements exigent un droit de regard sur les données de leurs citoyens récupérées par les applications mobiles de communication. Un chiffrement de bout en bout permettrait donc de chiffrer les communications et d’empêcher à une personne tierce d’accéder aux informations que l’on transmet. Bien que le chiffrement de bout en bout devienne populaire et semble être, en théorie, une bonne pratique à adopter, la réalité est toute autre. En effet, certaines fonctionnalités sont incompatibles avec le chiffrement de bout en bout. La palette d’outils que proposent les logiciels est, en conséquence, restreinte. En outre, si vous perdez la clé out le mot de passe pour accéder au contenu chiffré, vous perdrez vos données et vous n’aurez aucun moyen de le récupérer.

Par ailleurs, bien que les logiciels propriétaires puissent nous vendre un produit qui possède le chiffrement de bout en bout, on ne pourra jamais être sûr à cent pour cent que nos données ne sont pas récupérées. Pourquoi ? Les logiciels propriétaires ne partagent pas leur code source. Ils peuvent donc potentiellement garder le contrôle sur les « bouts » du chiffrement. Nous devons donc faire confiance au logiciel propriétaire sans avoir aucune garantie qu’ils soient sincères envers nous. Les logiciels libres sont donc une approche complémentaire au chiffrement de bout en bout. Prenons l’exemple d’une ancienne montre à gousset : les rouages sont totalement ou en partie visibles et il est possible d’accéder aux rouages et de les changer. Avec les logiciels libres, le principe est similaire. Cela illustre le principe évoqué par Richard Stallman : « Dans le logiciel, il y a deux possibilités : ou les utilisateurs ont le contrôle du programme, ou le programme a le contrôle des utilisateurs. ». Utiliser un logiciel libre qui assure un chiffrement de bout en bout vous permet donc de garder le contrôle et de vous libérer du schéma asymétrique proposé par les logiciels propriétaires.

Sources :

Article du Legal reader

Article de Fox Business

Résumé de Bloomberg Law sur la plainte déposée par Consumer Watchdog

Filet de NBCNews sur l'avertissement du FBI

Article de Consumer Watchdog sur le sujet

L'action en justice déposée par Consumer Watchdog