Suite à l’explosion de la demande avec le Covid-19 – le service est passé de 10 millions d’utilisateurs quotidiens en décembre, avant la pandémie, à plus de 200 millions d’utilisateurs quotidiens en mars – et à de sérieux problèmes de cybersécurité, la société de vidéoconférence Zoom permettra à ses clients payants de se connecter ou non à une région spécifique de datacenters.
Des datacenters contre des clés de chiffrement générées en Chine
Les changements interviennent après que le Citizen Lab de l’Université de Toronto a découvert que Zoom générait des clés de chiffrement pour certains appels à partir de serveurs en Chine, indépendamment du fait que quelqu’un sur l’appel était physiquement situé dans le pays. Ce qui, théoriquement, peut se traduire par la capacité offerte aux autorités chinoises de forcer Zoom à divulguer ces clés de cryptage.
Et peu importe que cette faille sécuritaire ait été réalisée dans l’urgence d’ajouter de la capacité serveur pour venir en aide aux utilisateurs du service pendant la pandémie, en commençant par la Chine, premier lieu du déploiement du virus, comme l’a justifié Eric S. Yuan, le CEO de Zoom.
« Dans ce processus, nous n’avons pas réussi à mettre pleinement en œuvre nos meilleures pratiques habituelles en matière de géolocalisation. Par conséquent, il est possible que certaines réunions aient été autorisées à se connecter à des systèmes en Chine, où elles n’auraient pas dû être en mesure de se connecter.«
Les utilisateurs payants de Zoom peuvent donc désormais choisir la région par défaut des datacenters où leur compte est provisionné. Zoom exploite en effet une combinaison de datacenters de colocation et de services de cloud public, qu’il divise en huit régions: États-Unis, Canada, Europe, Inde, Australie, Chine, Amérique latine et Japon / Hong Kong.
Zoom a accumulé les dérives
Pour être complet, Zoom a également été confronté à d’autres questions sur ses pratiques de sécurité, avec des inquiétudes soulevées au début de cette année lorsque le service a été pris la main dans le sac en train d’envoyer des données à Facebook, même d’ailleurs si l’utilisateur n’était pas connecté à un compte Facebook. La société a également admis le chiffrement n’est pas appliqué de bout en bout.
Enfin, la pratique du Zoombombing s’est également répandue : elle permet, en particulier via les ID de réunion dans les captures d’écran, de deviner les numéros d’identification de réunion Zoom pour entrer sans y être invité et interrompre l’appel. Quant à la protection par mot de passe, elle est désormais activée par défaut.