Le service de visioconférence Zoom est la véritable star de cette période de confinement. Un succès qui malheureusement pour la startup met aussi en lumière ses faiblesses. Attention à l’effet boomerang…

Depuis quelques semaines, le service de visioconférence Zoom connaît un succès foudroyant. Jugez plutôt : fin décembre 2019, Zoom annonçait 10 millions d’utilisateurs. Fin mars, la startup comptait 200 millions d’utilisateurs quotidiens. Depuis le début du confinement international, le service a vu sa fréquentation multipliée par 20. Et devient aujourd’hui un cas d’école. Car son succès s’accompagne de problématiques multiples et variées. L’entreprise doit évidemment gérer une montée en charge technique qu’elle n’avait pas anticipée. Mais elle a également attiré les regards des RSSI, des DSI et des chercheurs en cybersécurité qui mettent en lumière ses faiblesses.

Les raisons de la gloire…

Mais revenons un instant au succès de Zoom. Il s’explique par une approche très moderne de la visioconférence et par une très grande simplicité de mise en œuvre. Il s’explique par la souplesse du service et la qualité des communications. Il s’explique aussi par le fait que l’entreprise fût une des premières à proposer un client Web ne nécessitant aucune installation préalable et permettant de contourner les problèmes de droits d’installation sur les postes. Il s’explique également par des fonctionnalités très funs comme la possibilité d’ajouter un fond virtuel pour cacher l’endroit où vous vous trouvez vraiment, la retouche automatique des visages qui vous donne un teint frais et rajeuni, ses fonctions de capture vidéo et de transcription de meeting ainsi que son Marketplace et son intégration soignée à plein d’outils des entreprises à commencer par Slack, Teams, Office 365, G Suite, etc.

Autant de qualités qui associées à l’attrait de la nouveauté et à la viralité des réseaux sociaux ont fait de Zoom la grande star de cette période de confinement et de télétravail.

Seulement, ce succès est en train de dépasser la jeune entreprise. La semaine dernière, elle publiait un « Security Filling » avertissant ses investisseurs de l’explosion de ses dépenses en infrastructures bien supérieures à ses prévisions. Pour répondre à la multiplication de la demande par 20, l’entreprise a dû augmenter ses ressources et louer des capacités cloud supplémentaires.

Et les raisons de la colère…

Mais ce succès a également attiré des regards plus attentifs qu’à l’accoutumée. Cela a commencé dès la mi-mars par une lettre formelle du groupe Access Now, qui lutte contre les abus des agences de renseignements, demandant à l’entreprise de faire preuve de davantage de transparence. Et depuis les mauvaises nouvelles s’enchaînent.
Des chercheurs en sécurité ont commencé par montrer que l’entreprise s’appuyait sur le SDK Facebook qui envoie une multitude d’informations plus ou moins privées vers le réseau social à l’insu des utilisateurs et ceci même si les utilisateurs n’ont pas de comptes Facebook !!!
D’autres chercheurs ont également démontré que les scripts d’installation de Zoom sur MacOS trichaient avec le système pour en contourner certains des mécanismes de défense et de protection.

Bien plus graves encore, les découvertes de vulnérabilités se multiplient.
Une faille entraîne une fuite des données personnelles des profils LinkedIn des utilisateurs Zoo.
Une autre faille entraîne la fuite des photos et adresses email des participants exploitables par n’importe quel
Une autre faille permet à des cyberattaquants de voler très aisément les noms d’utilisateur et mots de passe Windows des participants vers des personnes qui ne font pas partie de l’entreprise et ne devraient pas avoir accès à ces informations : cela permet à des personnes mal intentionnées de se faire passer pour un éventuel collaborateur et d’obtenir ainsi des informations confidentielles ou d’abuser de la naïveté de collaborateurs.
D’autres chercheurs ont également démontré que, bien que Zoom affirme chiffrer les transmissions de bout en bout, cela n’était pas entièrement le cas et que l’usage du service soulevait dès lors des problèmes de confidentialité des conférences.

Zoom doit redouter l’effet boomerang

Et toutes ces découvertes en l’espace d’une seule semaine ou presque ! Cela commence à faire vraiment beaucoup et inquiète forcément les responsables cybersécurité des entreprises. Certaines ont d’ailleurs commencé à interdire l’usage de la plateforme à ses employés à l’instar de SpaceX par exemple.

Jusqu’ici Zoom a plutôt réagi assez rapidement face à toutes ses découvertes et tenté de colmater rapidement les fuites et failles. Mais face à ce tsunami de découvertes qui ternissent son image, l’entreprise a pris une décision plus radicale. Elle vient d’annoncer geler tout développement de nouvelles fonctionnalités afin de focaliser durant les 90 prochains jours tous les efforts de ses ingénieurs et développeurs au colmatage des failles et au renforcement des sécurités de sa solution.

Une sage décision mais qui intervient peut-être, sûrement, un peu tardivement. Car s’il n’est pas facile d’acquérir la confiance des utilisateurs, il est encore plus difficile de la reconquérir une fois qu’elle a été perdue.