Sécurité des données: La FTC déclare que “Zoom a menti aux utilisateurs"

Zoom a failli être attaqué en justice par la Federal Trade Commission des USA pour avoir menti à ses utilisateurs sur le niveau de sécurité qu'elle leur proposait. La plateforme a échappé au procès en signant un accord l’engageant à fournir une meilleure protection des réunions des utilisateurs. 

Devenue célèbre durant les différents confinements mis en place par les gouvernements mondiaux face à la Covid-19, l’application Zoom aurait floué ses utilisateurs sur le niveau de sécurité offert. C’est aux Etats-Unis que la polémique a été lancée lorsque la Federal Trade Commission (FTC), une agence gouvernementale chargée des pratiques commerciales, a accusé Zoom de volontairement offrir un faible niveau de sécurité. 

« Depuis au moins 2016, Zoom a induit les utilisateurs en erreur en prétendant qu'il offrait un chiffrement 256-bit de bout en bout pour sécuriser les communications des utilisateurs, alors qu'en fait il offrait un niveau de sécurité inférieur. Zoom a, en réalité, conservé les clés de chiffrement qui pouvaient lui permettre d'accéder au contenu des réunions de ses clients », a déclaré la FTC. 

L’agence avait dans un premier temps porté plainte contre Zoom avant que les deux parties ne trouvent un accord. Pour y parvenir, l’entreprise a pris l’engagement de ne plus faire de fausse déclaration sur la sécurité et la protection de la vie privée. Elle doit également mettre en œuvre un programme de sécurité complet qui sera évalué tous les 2 ans par un tiers. Zoom doit également informer la FTC en cas de violation des données. 

L’application a servi ces derniers mois à de nombreux organisateurs d’évènements à transformer leurs rencontres physiques, annulées à cause de la pandémie, en conférences virtuelles. 

Aucune compensation pour les utilsateurs

Le règlement est soutenu par la majorité républicaine de la FTC, mais les démocrates de la commission s’y sont opposés car l’accord ne prévoit pas de compensation pour les utilisateurs.

« Aujourd’hui, la Federal Trade Commission a voté pour proposer un règlement avec Zoom qui suit une formule malheureuse de la FTC », a déclaré le commissaire démocrate de la FTC, Rohit Chopra. « Le règlement n’apporte aucune aide aux utilisateurs concernés. Il ne fait rien pour les petites entreprises qui se sont appuyées sur les revendications de protection des données de Zoom. Et il n’oblige pas Zoom à payer un centime. La Commission doit changer de cap. »

Selon le règlement, « Zoom n’est pas tenu d’offrir réparation, remboursement ou même avis à ses clients que les allégations matérielles concernant la sécurité de ses services étaient fausses », a...

déclaré la commissaire démocrate Rebecca Kelly Slaughter. « Cet échec du règlement proposé rend un mauvais service aux clients de Zoom et limite considérablement la valeur dissuasive de l’affaire. » Bien que le règlement impose des obligations de sécurité, Slaughter a déclaré qu’il n’incluait aucune exigence protégeant directement la confidentialité des utilisateurs.

Zoom fait face séparément à des poursuites de la part d’investisseurs et de consommateurs qui pourraient éventuellement conduire à des règlements financiers.

Le règlement Zoom / FTC n’impose pas réellement le cryptage de bout en bout, mais Zoom a annoncé le mois dernier qu’il déploie le cryptage de bout en bout dans un aperçu technique pour obtenir les commentaires des utilisateurs. Le règlement exige que Zoom mette en œuvre des mesures «(a) obligeant les utilisateurs à sécuriser leurs comptes avec des mots de passe forts et uniques; (b) à l’aide d’outils automatisés pour identifier les tentatives de connexion non humaines; (c) les tentatives de connexion limitant le taux pour minimiser le risque d’une attaque par force brute et (d) implémentation de réinitialisations de mot de passe pour les identifiants compromis connus.  »

FTC accuse ZoomOpener injuste et trompeur

La plainte et le règlement FTC couvrent également le déploiement controversé par Zoom du serveur Web ZoomOpener qui contournait les protocoles de sécurité Apple sur les ordinateurs Mac. Zoom a « installé secrètement » le logiciel dans le cadre d’une mise à jour de Zoom pour Mac en juillet 2018, a indiqué la FTC.

« Le serveur Web ZoomOpener a permis à Zoom de lancer automatiquement et de rejoindre un utilisateur à une réunion en contournant une protection de navigateur Apple Safari qui protégeait les utilisateurs contre un type courant de malware », a déclaré la FTC. « Sans le serveur Web ZoomOpener, le navigateur Safari aurait fourni aux utilisateurs une boîte d’avertissement, avant de lancer l’application Zoom, qui demandait aux utilisateurs s’ils voulaient lancer l’application. »

Le logiciel « augmentait le risque de surveillance vidéo à distance des utilisateurs par des étrangers » et « restait sur les ordinateurs des utilisateurs même après avoir supprimé l’application Zoom, et réinstallerait automatiquement l’application Zoom – sans aucune action de l’utilisateur – dans certaines circonstances », a déclaré la FTC. . La FTC a allégué que le déploiement du logiciel par Zoom sans préavis adéquat ni consentement de l’utilisateur enfreignait la loi américaine interdisant les pratiques commerciales déloyales et trompeuses.

Au milieu de la controverse en juillet 2019, Zoom a publié une mise à jour pour supprimer complètement le serveur Web de son application Mac, comme nous l’avions signalé à l’époque.

Agences