Depuis le début du confinement, les applications de visioconférence ont vu leur utilisation exploser, autant dans le cercle personnel que professionnel. Mais toutes n'assurent pas le même niveau de sécurité. Au coeur des interrogations notamment, deux applications, Zoom et Houseparty.

Quelle application utiliser pour dialoguer à distance ?
Quelle application utiliser pour dialoguer à distance ? © Maxppp / Chloe Sharrock / Le Pictorium

C'est la conséquence presque inhérente du confinement : faute de pouvoir se voir, se retrouver autour d'un apéritif ou d'une réunion, amis et collègues optent désormais pour la visioconférence. Et pour ce faire, les solutions sont légion : aux côtés des logiciels les plus connus comme Skype ou FaceTime, d'autres applications se sont imposées. D'une part, les fonctions vidéo de logiciels habituellement privilégiés pour la voix et le texte (Messenger, WhatsApp, Google Hangouts), d'autre part des applications dédiées à des conversations vidéo en grand nombre.

Microsoft Teams, mais aussi de nouveaux venus comme Zoom et HouseParty, l'une sur un créneau très "pro", l'autre qui se revendique beaucoup plus festif. Seulement, ces deux applications ont soulevé de nombreux doutes quant à leur sécurité. 

L'épineux cas Zoom

Le cas de l'application Zoom est le plus emblématique, tant ce logiciel, créé en 2011, a vu son utilisation monter en flèche aussi vite que la défiance qui a suivi à son égard. En mars 2020, selon son créateur, le logiciel comptait 200 millions de participants à des réunions virtuelles chaque jour, contre 10 millions en décembre 2019. L'application a flairé l'opportunité avec l'arrivée des règles de confinement, et a levé la limite d'utilisation gratuite, qui était jusqu'alors de 40 minutes par réunion.

Pourtant, depuis que son utilisation s'est répandue comme une trainée de poudre, les problèmes s'accumulent. Le "ZoomBombing" est l'un des phénomènes qui illustrent le mieux les failles de sécurité de l'application : en pleine réunion, des images pornographiques, ou des propos racistes, viennent s'incruster parmi les participants. Le site spécialisé Motherboard a repéré que l'application fournissait des données notamment à Facebook, sans le mentionner clairement dans ses conditions d'utilisation. Et ce week-end, le journal Washington Post a identifié des failles qui permettaient d'accéder à des enregistrements de conversations et de réunions privées.  

L'application collecte des données dont elle n'est pas censée avoir besoin, et assure même une surveillance de ce que vous faites sur votre écran (un "indicateur d'attention" permettant à l'organisateur de la réunion de savoir si vous faites autre chose en même temps). Autant de fonctionnalités qui ne seraient pas si problématiques si les conversations étaient cryptées de bout en bout... ce qui n'est pas le cas. 

Depuis le début de la semaine, les procureurs d'au moins trois États américains ont lancé des enquêtes sur Zoom, et les écoles new-yorkaises sont repassées à Microsoft Teams. Dans une lettre ouverte, le fondateur de Zoom, Eric Yuan, a fait amende honorable et reconnu les erreurs de l'entreprise : "Nous n'avons pas été à la hauteur des attentes (...) Nous avons désormais une base d'utilisateurs beaucoup plus large, et nous découvrons des cas d'usage inattendus et des problèmes sous-jacents". La politique de confidentialité du logiciel a d'ores et déjà été modifiée à deux reprises depuis le 18 mars - l'une des deux modifications ayant mis fin au transfert de données à Facebook. 

Houseparty, failles de sécurité ou acharnement commercial (ou les deux) ?

Le cas de Houseparty est encore plus épineux, car il semble mélanger des manquements réels à la vie privée et des accusations qu'il est, pour l'heure, difficile de vérifier. Cette application, populaire chez les plus jeunes, permet à la fois de se connecter en visioconférence et, en même temps, de lancer de petits jeux. 

Mais là, les conditions d'utilisation et la politique de confidentialité sont claires, assure Franceinfo qui les a épluchées : l'application se donne le droit non seulement d'écouter le contenu de toutes les conversations passées par cette application... mais aussi d'utiliser "toute idée, invention, concept ou technique" dont il est fait mention. 

Autrement dit, de s'approprier tout ce qui est dit dans les discussions, qui là encore ne sont pas chiffrées de bout en bout. Par ailleurs l'application collecte des données qui ne lui sont pas essentielles (l'opérateur mobile, les applications consultées avant et après), ce qui est contraire au règlement européen sur la protection des données, le RGPD. 

Ca, c'est pour la - déjà dangereuse - part de vrai dans les accusations formulées à l'encontre de Houseparty. Mais à cela s'ajoutent des dizaines d'accusations, formulées sur les réseaux sociaux, de personnes qui auraient vu leurs autres comptes (Instagram, PayPal, Netflix) piratés après s'être connectés à Houseparty. 

Des accusations difficilement vérifiables, les experts s'accordant à dire que des fuites ou des piratages de données sont possibles si l'application présente des failles de sécurité (et si les utilisateurs utilisent, par exemple, le même mot de passe dans Houseparty que dans d'autres applications), mais que l'hypothèse que l'application soit en réalité un logiciel malveillant destiné à aspirer des données est fantaisiste, comme le relate Le Monde

Quelles alternatives sécurisées ?

L'application Jitsi, créée par le Français Emil Ivov, semble petit à petit s'imposer comme une autre bonne alternative sécurisée à ces logiciels. Elle présente le double avantage d'être un logiciel "open source", dont le code est totalement accessible (et donc analysable), et de crypter chacune de ses conversations de bout en bout. Aujourd'hui, elle appartient à une firme américaine mais a gardé son ADN de logiciel open-source, disponible sur toutes les plateformes. Pour l'instant, il ne compte toutefois "que" huit millions d'utilisateurs, bien loin, donc, des scores des autres applis. Autre avantage : elle n'a pas de limitation pour les réunions, ni en nombre de participants, ni sur la durée. 

Globalement, les applications instituées depuis longtemps, comme Skype, FaceTime, Teams ou WhatsApp proposent ce chiffrement de bout en bout qui manque aux applications citées plus haut. Chacune présente toutefois ses propres limitations - sur WhatsApp par exemple, impossible de faire un appel vidéo à plus de quatre personnes ; et sur FaceTime, il faudra discuter entre appareils Apple. 

Quelques règles de bon sens...

Reste un détail à ne pas oublier : le bon sens des utilisateurs. Sécurisés ou non, les logiciels ne sont pas exempts de bugs, de piratages, et il faut faire attention à ce que vous leur permettez de faire. 

Ainsi, n'oubliez pas que ces applications demandent en général l'accès à votre micro, à votre caméra, et même pour celles qui permettent un partage d'écran, à ce qu'il se passe sur votre ordinateur. Autant d'autorisations que vous pouvez par exemple désactiver, dans les préférences de votre ordinateur, smartphone ou tablette, si vous ne vous servez pas de votre application de vidéoconférence pendant un certain temps. 

De la même manière - et c'est vrai pour tous les services que vous utilisez - variez vos mots de passe, et n'utilisez pas le même partout. Et lorsque vous créez une "réunion", si celle-ci génère un lien à partager pour que vos invités puissent s'y joindre, ne le publiez pas sur des plateformes où ils pourraient apparaître de façon publique - de plus, il est possible, sur certains logiciels, de créer des réunions "privées" sur mot de passe, ou dans lesquelles l'organisateur doit approuver les différents participants.

Ce contenu n'est pas ouvert aux commentaires.