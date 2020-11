Annoncé lundi, un accord entre l’application de visioconférence Zoom et la FTC a révélé que depuis 2016, Zoom mentait sur le fait de fournir un « cryptage 256 bits de bout en bout » pour protéger la sécurité des communications des utilisateurs. La vérité était que Zoom offrait aux utilisateurs un niveau de sécurité inférieur. Comme l’a déclaré lundi la FTC, « Zoom a conservé les clés cryptographiques qui permettraient à Zoom d’accéder au contenu des réunions de ses clients, et a sécurisé ses réunions Zoom, en partie, avec un niveau de cryptage inférieur à celui promis. »

Zoom et FTC atteignent le règlement après que Zoom soit pris dans un gros mensonge sur le cryptage



La plainte FTC raconte la croissance rapide de l’entreprise. En juillet 2019, elle comptait 600000 abonnés payants et 88% de ses abonnés payants étaient des petites entreprises de 10 employés ou moins. En décembre 2019, 10 millions de personnes dans le monde participaient quotidiennement à un chat Zoom. Et au moment où COVID-19 a frappé les États-Unis en avril 2020, le nombre de personnes dans le monde entier participant à un chat Zoom tous les jours avait grimpé en flèche pour atteindre 300 millions.

Au cours de cette incroyable période de croissance, Zoom a fait diverses représentations sur la solidité de ses mesures de sécurité. Sur ses sites Web et dans ses guides de sécurité, Zoom a déclaré qu’il prenait «la sécurité au sérieux», qu’il «place la confidentialité et la sécurité au premier rang des priorités». Zoom a également fait savoir qu ‘«il s’engage à protéger votre vie privée». Depuis 2016, Zoom affirme que ses chats offrent un cryptage de bout en bout. Une façon de le faire était de placer une icône d’un cadenas vert dans le coin supérieur gauche d’une réunion Zoom. Lorsqu’un utilisateur survolait l’icône, il ou elle voyait une fenêtre contextuelle indiquant «Zoom utilise une connexion cryptée de bout en bout».

Mais comme le note la FTC, « Zoom n’a pas fourni de cryptage de bout en bout pour toute réunion Zoom qui a été menée en dehors du produit Connecteur de Zoom. Dans un article de blog rédigé par le directeur des produits de Zoom, la société a finalement admis que » alors que nous n’avons jamais destiné à tromper l’un de nos clients, nous reconnaissons qu’il existe une divergence entre la définition communément acceptée du cryptage de bout en bout et la façon dont nous l’utilisions. « La FTC a également noté que la déclaration faite l’année dernière par Zoom selon laquelle elle était enregistrée les réunions étaient stockées cryptées dès la fin de la réunion n’était tout simplement pas vrai. Il s’est avéré que les réunions enregistrées ont été conservées sur le propre serveur de Zoom non cryptées pendant 60 jours avant d’être transférées vers le stockage cloud sécurisé de Zoom où elles ont été stockées cryptées.

Les démocrates du panel de la FTC ne sont pas satisfaits du règlement car ils estiment qu’il ne punit pas assez Zoom pour ses mensonges. La commissaire démocrate Rebecca Kelly Slaughter a déclaré: « Zoom n’est pas tenu d’offrir réparation, remboursement ou même avis à ses clients que les allégations matérielles concernant la sécurité de ses services étaient fausses. Cet échec du règlement proposé ne rend pas service aux clients de Zoom, et limite considérablement la valeur dissuasive de l’affaire. » Cependant, Zoom fait face à des poursuites judiciaires de la part de clients et d’investisseurs, ce qui pourrait conduire la société à être condamnée à une restitution financière à ceux qui ont été blessés par la malhonnêteté de l’entreprise.

Le règlement proposé que Zoom a accepté comprend le renforcement de sa sécurité, y compris l’utilisation de l’authentification multifacteur comme moyen d’empêcher l’accès non autorisé au réseau Zoom. Le règlement est ouvert au public pour commenter pendant 30 jours; une fois ce délai écoulé, la Commission votera pour le rendre définitif. Les 30 jours commencent une fois le règlement publié dans le Federal Register. Zoom devra informer la FTC en cas de violation de données. Toutes les mises à jour logicielles devront être examinées par Zoom pour détecter d’éventuelles failles de sécurité. Et un tiers devra approuver le programme de sécurité de Zoom une fois le règlement finalisé et tous les deux ans par la suite pour un total de 20 ans.