Le fédéral invite les utilisateurs de vidéoconférence à se soucier de leur vie privée

Le Centre canadien pour la cybersécurité a mis en garde les utilisateurs de ces applications de vidéoconférences des risques «d’infiltrations et de perturbations inattendues» de ces réunions en ligne.
Photo: Olivier Douliery Agence France-Presse Le Centre canadien pour la cybersécurité a mis en garde les utilisateurs de ces applications de vidéoconférences des risques «d’infiltrations et de perturbations inattendues» de ces réunions en ligne.

Tout en reconnaissant que l’utilisation croissante des applications de vidéoconférence, telles que Zoom, amplifiée par le confinement social actuel « présente des défis pour la protection de la vie privée des Canadiens en ligne », le gouvernement fédéral n’est toujours pas entré en contact avec les fournisseurs de ces services afin d’examiner leurs pratiques en matière de confidentialité et de sécurité des données, contrairement à d’autres pays.

Le Canada invite plutôt ces citoyens à s’informer eux-mêmes sur la « vulnérabilité » des services que la pandémie de COVID-19 et le télétravail ont rendus de plus en plus populaires dans les dernières semaines, et ce, pour « se protéger », a indiqué le Commissariat à la protection de la vie privée au Devoir.

Pourtant, pour Frédéric Cuppens, spécialiste en cybersécurité au département de génie informatique de l’École Polytechnique de Montréal, ces services de vidéoconférence, particulièrement l’application Zoom, peinent à assurer la protection des échanges qu’ils favorisent désormais dans un contexte de confinement social qui a fait exploser le télétravail. « Zoom est très bien pour la performance, la qualité et la facilité d’accès, dit-il. Mais d’un point de vue de sécurité, c’est une catastrophe. »

À voir en vidéo

Depuis plusieurs jours, ce service se retrouve dans la ligne de mire des défenseurs des libertés qui accusent Zoom, une compagnie de San José en Californie, de ne pas suffisamment protéger les communications passant par son application. L’absence d’encodage de la communication au départ et à l’arrivée de la transmission, mais aussi la possibilité d’accéder à des réunions auxquelles on n’a pas été invité font partie des critiques.

« Le contenu de l’échange est potentiellement conservé par le fournisseur privé de ce service, dit M. Cuppens. Une fois connecté, n’importe qui peut également enregistrer la réunion sur un ordinateur, puis la repartager. Beaucoup d’entreprises interdisent d’ailleurs à leurs employés d’utiliser Zoom et d’autres services du genre, comme Skype ou Google Hangouts, pour ne citer qu’eux, car il est impossible de garantir la confidentialité de la communication. »

Problème d’infiltration

La semaine dernière, le Centre canadien pour la cybersécurité a d’ailleurs mis en garde les utilisateurs de ces applications de vidéoconférences des risques « d’infiltrations et de perturbations inattendues » de ces réunions en ligne. Le phénomène a été baptisé « Zoom-bombing » et des organismes canadiens en ont été victimes, assure l’organisme. Les invitations envoyées par courriel, y compris celle comprenant un mot de passe pour accéder à l’échange en ligne, rendent ce mode de réunion particulièrement vulnérable à des attaques malveillantes, précise le Centre.

Fin mars, le bureau du procureur général de New York a fait part de ses préoccupations quant aux « pratiques de sécurité existantes » de Zoom qui « pourraient ne pas être suffisantes pour s’adapter à la flambée récente et soudaine du volume et à la sensibilité des données transmises via son réseau », a-t-il écrit à la compagnie dans une lettre citée par le New York Times.

Sur son site, l’entreprise californienne assure avoir corrigé les failles de sécurité identifiées dans les dernières semaines, dit ne pas surveiller ni conserver les échanges et précise qu’elle collecte seulement « les données d’utilisateur nécessaires à la prestation des services Zoom ».

Aucune plainte n’a été reçue au sujet des services de vidéoconférence par le Commissariat canadien à la vie privée.

« Zoom et son service gratuit ont un prix, dit M. Cuppens. Elle enregistre les informations de ces utilisateurs, collecte les données personnelles de ses utilisateurs pour en faire un usage commercial. C’est un modèle d’affaires connu. »

L’entreprise affirme toutefois ne pas vendre les données personnelles. « Les données que nous obtenons à partir de votre utilisation de nos services, y compris vos réunions, ne sont pas utilisées à des fins publicitaires », assure-t-elle, sans préciser si ce principe est permanent ou temporaire ni faire état de la durée de conservation de ces données sur ses serveurs aux États-Unis.