Il semblerait que Zoom, l’application de visioconférence incontournable en période de télétravail, transmette les données de ses utilisateurs en Chine. Celles-ci comprennent parfois des clefs de chiffrement, ces morceaux de données qui peuvent déverrouiller les conversations des utilisateurs qui ne se trouvent même pas en Chine.

La rapport qui prouve cette hypothèse a été remis à Forbes vendredi après une semaine difficile pour Zoom, qui a dû s’excuser pour divers manquements concernant la vie privée et la sécurité des données. Les auteurs du rapport, Bill Marczak et John Scott-Railton, du Citizen Lab de l’université de Toronto, affirment que leur travail soulève notamment des questions quant à l’utilisation du logiciel par les organisations gouvernementales américaines. 


Jeudi, nous apprenions que les agences américaines en charge de la lutte contre le coronavirus avaient dépensé collectivement 1,3 million de dollars sur Zoom en quelques jours. Non seulement les Centres pour le contrôle et la prévention des maladies et la Federal Emergency Management Agency (FEMA) ont déboursé des centaines de milliers de dollars pour des webinaires et des appels au sujet du Covid-19, mais d’autres agences gouvernementales ont également pris des comptes payants sur l’application. Parmi elles, on retrouve le ministère des Affaires étrangères des États-Unis et l’United States Office of Personnel Management, une agence publique victime présumée d’un piratage informatique chinois majeur qui aurait vu fuiter les données de 21 millions d’Américains. Le gouvernement britannique est également un utilisateur bien connu de l’application de visioconférence et organise des réunions ministérielles cruciales à distance grâce à Zoom.

Alan Woodward, expert en cryptographie à l’université du Surrey, explique : « Ces travaux semblent soulever de nombreuses questions, auxquelles Zoom doit répondre en détail, et non par de vagues promesses ou des démentis ».

Zoom a refusé de faire tout commentaire, mais dans une interview publiée dans Forbes vendredi, le directeur général Eric Yuan déclarait que l’entreprise allait vérifier comment les conversations étaient acheminées vers la Chine, soulignant toutefois que les données étaient protégées. Il semblerait que les récents travaux n’avaient pas été transférés à Zoom, ainsi le PDG n’était peut-être pas au courant des nouvelles conclusions. Il a cependant assuré que si les données des utilisateurs étaient transférées vers la Chine alors que les utilisateurs ne s’y trouvaient pas, ils seraient « prêts à régler ce problème ».

Bill Marczak a déclaré à Forbes que toute agence américaine utilisant la version de l’application Zoom dédiée aux autorités (qui n’a pas été étudiée par son équipe) devrait « regarder de près » si les conversations ne sont pas transmises à la Chine. « Je m’adresse aux organisations du gouvernement américain : à la lumière de nos conclusions, assurez-vous que les personnes du gouvernement chargées d’examiner l’application Zoom for Government vérifient bien que les paramètres de sécurité sont adaptés. Si vous utilisez Zoom pour discuter autour d’un verre avec vos amis comme dans un bar, ne vous inquiétez pas ».

 

Zoom et la Chine

Il se trouve en effet que la société Zoom a de nombreux liens avec la Chine. Son PDG, Eric Yuan, est né dans la province du Shandong et y a fait ses études, avant de partir aux États-Unis dans les années 1990, où il vit encore aujourd’hui. Par ailleurs, une grande partie de la R & D de Zoom se fait en Chine. En creusant, les auteurs du rapport ont aussi trouvé une poignée de sociétés appartenant à Zoom et opérant sous le nom de Ruanshi Software.

En cherchant à savoir où les conversations Zoom ayant lieu aux États-Unis et au Canada étaient acheminées, les chercheurs ont découvert que les clefs de chiffrement étaient parfois générées à Pékin, mais qu’elles étaient également gérées par des serveurs dans d’autres pays. Selon les documents déposés auprès de la U.S. Securities and Exchange Commission (SEC), Zoom n’envoie pas seulement des données via la Chine, elle possède également 13 data centers en Australie, au Brésil, au Canada, en Allemagne, en Inde, au Japon, aux Pays-Bas et aux États-Unis. Mais selon le rapport, le problème de l’envoi de données vers la Chine, et en particulier des clefs de chiffrement, est que « Zoom peut se voir dans l’obligation légale de révéler ces informations aux autorités chinoises ».

Pourtant, la société Zoom a conscience des inquiétudes que suscitent ses liens avec la Chine. La direction a même déclaré dans un récent document déposé auprès de la SEC : « Notre personnel de recherche et développement est concentré en Chine, ce qui pourrait pousser les marchés à examiner plus en détail notre intégrité et les dispositifs de sécurité visant à protéger les données ». Le géant chinois Huawei avait fait l’objet d’une surveillance de la sorte aux États-Unis, au point qu’il lui avait été interdit de travailler avec toute organisation gouvernementale américaine, ce qui lui avait valu une chute de ses ventes de smartphones dans le pays. 

Zoom déclarait il y a quelques jours : « Nous n’avons jamais conçu de mécanisme visant à décrypter les réunions privées pour les intercepter, et nous n’avons pas non plus les moyens d’introduire nos employés dans les réunions sans qu’ils n’apparaissent dans la liste des participants ». Malgré tout, l’application n’a pas encore publié de rapport de transparence montrant sa gestion des demandes du gouvernement.

 

Méthode de chiffrement

L’application Zoom avait déjà été obligée de s’excuser après avoir prétendu utiliser un système de chiffrement de bout en bout, dans lequel seules les personnes qui communiquent peuvent lire les messages échangés. Avec cette technologie, les clefs numériques qui verrouillent et ouvrent les données de l’utilisateur sont censées être générées et stockées uniquement sur l’ordinateur ou le smartphone de l’utilisateur. Mais chez Zoom, ce sont les propres serveurs de l’application qui génèrent les clefs de chiffrement et y ont donc accès, ce qui signifie que l’audio et la vidéo de chaque appel ne sont pas vraiment protégés.

Mais malgré cela, Bill Marczak affirme que Zoom semble travailler à l’amélioration de sa sécurité. La semaine dernière, Eric Yuan, le PDG, déclarait que Zoom mettait en pause le développement de nouvelles fonctionnalités pour se concentrer sur la sécurité. Le coauteur de rapport déclare : « Le fait que Zoom ait récemment admis ne pas utiliser de cryptage de bout en bout, et se soit engagé à améliorer la sécurité et la confidentialité de son application, est un signe encourageant ».

Pour autant, il met en garde les utilisateurs qui échangent des informations sensibles : « Je réfléchirais bien avant d’utiliser Zoom pour communiquer des informations classifiées, des secrets commerciaux ou des données médicales confidentielles. Si vous êtes un défenseur des droits de l’homme, un avocat, un journaliste ou toute autre personne travaillant sur des sujets sensibles qui pourraient intéresser un État-nation ou un autre adversaire puissant, je vous conseillerais d’attendre que Zoom apporte des améliorations de sécurité à son application avant de l’utiliser ».

En guise de réponse, Zoom a publié un billet de blog annonçant que le routage via la Chine était une erreur et qu’il était en cours de traitement, ajoutant que la version de l’application dédiée aux autorités n’était pas concernée. « En février, Zoom a rapidement augmenté la capacité de la région chinoise pour faire face à une augmentation massive de la demande. Dans notre hâte, nous avons ajouté par erreur nos deux data centers chinois à la liste blanche, ce qui permettait potentiellement à des clients non chinois de s’y connecter dans des circonstances extrêmement rares (à savoir lorsque les serveurs primaires non chinois étaient indisponibles ».

 

<<< À lire également : Visio Conférence : Attention au Zoom Bombing ! >>>