La Federal Trade Commission (FTC), l’administration américaine en charge du droit de la consommation et des pratiques anticoncurrentielles, affirme le 9 novembre que Zoom a trompé ses utilisateurs, et notamment sur le cryptage de bout en bout de leurs données vidéo.
L’éditeur américain Zoom Video Communications échappe à une très courte majorité (3 – 2 juges) à de sévères sanctions aux Etats-Unis. La Federal Trade Commission (FTC), l’administration américain en charge du droit de la consommation et du contrôle des pratiques anticoncurrentielles, affirme le 9 novembre que Zoom a trompé ses utilisateurs, et notamment sur le cryptage de bout en bout de leurs données vidéo. Mauvaise nouvelle pour les clients et revendeurs de Zoom.
Zoom a menti depuis 2016 sur le niveau réel de protection
Selon elle, l’outil de visio-conférence de Zoom néglige la sécurité de ses utilisateurs car l’éditeur a menti depuis 2016 sur le niveau réel de protection qu’il leur offre. En réalité, le niveau de cryptage de bout en bout de son logiciel de visio-conférence n’a jamais été de 256 bits, contrairement à ses affirmations « trompeuses ».
Même constat pour l’enregistrement des visioconférences de ses clients, que Zoom promettait d’encrypter immédiatement dans son Cloud privé. La FTC précise que ces vidéos ont été stockées pendant 60 jours sur les serveurs de Zoom, avant d’être transférées dans son Cloud privé sécurisé. Enfin, cette institution reproche également à l’éditeur d’avoir installé secrètement en juillet 2018 son logiciel web server ZoomOpener sur les applications et ordinateurs Mac, dont les droits surpassaient ceux du navigateur Apple Safari pour lancer ses visios.
La FTC oblige Zoom à revoir rapidement ses pratiques en matière de sécurité
En contrepartie, la FTC oblige l’éditeur américain à revoir rapidement ses pratiques en matière de sécurité sur son logiciel de visioconférence. Zoom doit mettre en place des outils de sécurité plus performants, dont de l’authentification multifactorielle (MFA), et les faire tester par ses employés. Il doit aussi installer un programme de gestion des vulnérabilités et publier désormais un document détaillant annuellement les vraies conditions de sécurité de ses logiciels.