Un écran d'ordinateur avec un appel Zoom montrant les visages d'une dizaine de participants.
Agrandir / Aperçu technique du cryptage de bout en bout de Zoom, rendu disponible des mois après que Zoom a été surpris en train de mentir aux utilisateurs sur la façon dont il crypte les appels vidéo.

Zoom a accepté de payer 85 millions de dollars pour régler les allégations selon lesquelles il aurait menti sur le fait d’offrir un cryptage de bout en bout et aurait donné les données des utilisateurs à Facebook et Google sans le consentement des utilisateurs. Le règlement entre Zoom et les déposants d’un recours collectif couvre également les problèmes de sécurité qui ont conduit à des “Zoombombings” endémiques.

Le règlement proposé donnerait généralement aux utilisateurs de Zoom 15 $ ou 25 $ chacun et a été déposé samedi devant le tribunal de district américain du district nord de Californie. Cela s’est produit neuf mois après que Zoom a accepté des améliorations de la sécurité et une « interdiction des fausses déclarations en matière de confidentialité et de sécurité » dans un règlement avec la Federal Trade Commission, mais le règlement de la FTC n’incluait pas de compensation pour les utilisateurs.

Comme nous écrit en novembre, la FTC a déclaré que Zoom prétendait offrir un cryptage de bout en bout dans ses guides de conformité HIPAA de juin 2016 et juillet 2017, dans un livre blanc de janvier 2019, dans un article de blog d’avril 2017 et dans des réponses directes aux demandes de renseignements des clients et potentiels. les clients. En réalité, “Zoom n’a fourni de cryptage de bout en bout pour aucune réunion Zoom qui a été menée en dehors du produit” Connecter “de Zoom (qui sont hébergés sur les propres serveurs d’un client), car les serveurs de Zoom, y compris certains situés en Chine, maintiennent les clés cryptographiques qui permettraient à Zoom d’accéder au contenu des réunions Zoom de ses clients », a déclaré la FTC. Dans un véritable cryptage de bout en bout, seuls les utilisateurs eux-mêmes ont accès aux clés nécessaires pour décrypter le contenu.

Le nouveau règlement de recours collectif s’applique aux utilisateurs de Zoom à l’échelle nationale, qu’ils aient utilisé Zoom gratuitement ou payé pour un compte. Si le règlement est approuvé par le tribunal, « les membres du groupe qui ont payé pour un compte seront éligibles pour recevoir 15 % de l’argent qu’ils ont payé à Zoom pour leur abonnement de base aux réunions Zoom pendant cette période. [March 30, 2016, to July 30, 2021] ou 25 $, selon le montant le plus élevé », a déclaré le règlement. « Les membres du groupe qui ne sont pas admissibles à soumettre une réclamation d’abonnement payé peuvent faire une réclamation de 15 $. Ces montants peuvent être ajustés au prorata, à la hausse ou à la baisse, en fonction du volume des réclamations, du montant des honoraires et des dépenses, des paiements de service aux représentants du groupe, des taxes et dépenses fiscales et des frais d’administration du règlement. »

Les avocats du groupe obtiendraient des honoraires d’avocat allant jusqu’à 25 pour cent des 85 millions de dollars et jusqu’à 200 000 $ pour le remboursement des dépenses. Environ une douzaine de plaignants nommés demandent l’approbation de paiements de 5 000 $ chacun. Une audience sur la requête des plaignants pour l’approbation préliminaire du règlement est prévue pour le 21 octobre 2021.

En plus des paiements, Zoom “a accepté plus d’une douzaine de changements majeurs à ses pratiques, conçus pour améliorer la sécurité des réunions, renforcer les divulgations de confidentialité et protéger les données des consommateurs”, indique le règlement.

Avec la pandémie qui stimule son activité de visioconférence, Zoom plus de quadruplé son chiffre d’affaires annuel est passé de 622,7 millions de dollars à 2,7 milliards de dollars au cours des 12 mois se terminant le 31 janvier 2021. Zoom a également déclaré un bénéfice net de 672 millions de dollars pour la période de 12 mois, contre 25,3 millions de dollars l’année précédente. Zoom est en bonne voie pour des résultats encore meilleurs cette année, ayant signalé Chiffre d’affaires du premier trimestre (février-avril) de 956,2 millions de dollars et bénéfice net de 227,5 millions de dollars.

Zoom ne peut pas redéfinir le chiffrement de bout en bout

Un recours collectif modifié plainte déposé en mai 2021 a déclaré que, malgré les fausses promesses de chiffrement de bout en bout (E2E) de Zoom, “les clés de chiffrement pour chaque réunion sont générées par les serveurs de Zoom, et non par les appareils clients”.

Il a continué :

La connexion entre l’application Zoom exécutée sur l’ordinateur ou le téléphone d’un utilisateur et le serveur de Zoom est cryptée de la même manière que la connexion entre un navigateur Web et un site Web est cryptée. C’est ce qu’on appelle le cryptage de transport, qui est différent du cryptage de bout en bout car le service Zoom lui-même peut accéder au contenu vidéo et audio non crypté des réunions Zoom. Lors d’une réunion Zoom utilisant cette technologie de cryptage, le contenu vidéo et audio restera privé de toute personne espionnant le Wi-Fi, mais ne restera pas privé de l’entreprise ou, vraisemblablement, de toute personne avec qui l’entreprise partage volontairement son accès, par contrainte de la loi (par exemple, à la demande des forces de l’ordre), ou involontairement (par exemple, un pirate informatique qui peut infiltrer les systèmes de l’entreprise). Avec un véritable cryptage E2E, les clés de cryptage sont générées par les appareils clients (clients), et seuls les participants à la réunion ont la possibilité de les décrypter.

Le site Web de Zoom a affirmé que son service permet à un hôte “[s]assurer une réunion avec un cryptage de bout en bout” et que “la solution et l’architecture de sécurité de Zoom fournissent un cryptage de bout en bout et des contrôles d’accès aux réunions afin que les données en transit ne puissent pas être interceptées”, selon la plainte. Mais Zoom n’a pas le droit de “La définition du cryptage de bout en bout n’est pas à interpréter dans l’industrie”, a déclaré la plainte. “Les fausses déclarations de Zoom sont un contraste frappant avec d’autres services de visioconférence, tels que FaceTime d’Apple, qui ont entrepris la tâche la plus difficile de mettre en œuvre un véritable cryptage E2E pour un appel à plusieurs.

L’échec de Zoom à fournir un cryptage de bout en bout a été rapporté par The Intercept en mars 2020. La réponse de Zoom à cet article “a clairement indiqué que Zoom savait à la fois qu’il n’utilisait pas la définition acceptée par l’industrie du cryptage E2E et avait pris la décision consciente d’utiliser le terme” de bout en bout “de toute façon “, dit le procès.

L’application Zoom incluait une zone de texte qui était révélée en “passant votre curseur sur le cadenas vert dans le coin supérieur gauche” et disait: “Zoom utilise une connexion cryptée de bout en bout”, a noté la plainte, ajoutant que “Zoom a depuis modifié ce texte pour simplement dire que la session est cryptée.”

En avril 2020, Zoom s’est excusé “pour la confusion que nous avons causée en suggérant à tort que les réunions Zoom étaient capables d’utiliser le cryptage de bout en bout… Bien que nous n’ayons jamais eu l’intention de tromper aucun de nos clients, nous reconnaissons qu’il existe un écart entre la définition communément acceptée de chiffrement de bout en bout et comment nous l’utilisions.”

En octobre 2020, Zoom annoncé disponibilité d’une « avant-première technique » de sa première véritable offre de chiffrement de bout en bout. Zoom site dit l’offre est toujours au stade de la prévisualisation technique “et désactive plusieurs autres fonctionnalités”, donc Zoom la recommande “uniquement pour les réunions où une protection supplémentaire est nécessaire”.

Donner des données utilisateur et autoriser les Zoombombings

Les utilisateurs de Zoom se sont appuyés sur les promesses de l’entreprise selon lesquelles “Zoom ne vend pas les données des utilisateurs” et que “Zoom prend la confidentialité au sérieux et protège adéquatement les informations personnelles des utilisateurs”, a déclaré le procès. Les membres du groupe ne comprenaient pas que « Zoom recueillerait et partagerait [their] informations personnelles avec des tiers, y compris Facebook et Google” et “permettre à des tiers, comme Facebook et Google, d’accéder [their] informations personnelles et les combiner avec du contenu et des informations provenant d’autres sources pour créer un identifiant ou un profil unique de [each user] à des fins publicitaires et influençant le comportement », a-t-il poursuivi.

Étant donné que Zoom a implémenté le SDK Facebook, les données de l’utilisateur ont été envoyées par Zoom à Facebook “que l’utilisateur ait créé un compte Zoom ou Facebook, et, pire encore, avant même que l’utilisateur n’ait rencontré les termes et conditions de Zoom ou toute divulgation de confidentialité, “, a déclaré le procès. Bien que Zoom aurait depuis “supprimé le SDK Facebook, Zoom continue de partager des données utilisateur de valeur similaire avec Google via le SDK Firebase Analytics de Google, également intégré à l’application Zoom. Les plaignants n’ont jamais accordé l’autorisation à des tiers d’extraire et d’utiliser ces données – en effet, ils n’étaient même pas au courant de la transmission des données.” Outre Facebook et Google, Zoom “envoie des données personnelles sur leurs utilisateurs à hotjar, Zendesk, AdRoll, Bing et autres”.

Le procès a également déclaré que Zoom a blâmé les utilisateurs pour une éruption de Zoombombings même si le problème a été activé par les lacunes de la sécurité de Zoom. Zoom pourrait avoir des interruptions de réunion limitées par des participants non autorisés avec « des solutions techniques relativement simples … par exemple, permettant aux hôtes d’annuler une réunion et/ou d’éjecter un Zoombomber en appuyant sur un seul bouton, les paramètres de contrôle de partage d’écran par défaut, ou mettre en œuvre des protocoles de sécurité de réunion plus stricts (admission des participants) tels que la vérification d’identité ou des codes d’accès de réunion uniques », a déclaré le procès.

“Dès le 20 mars 2020, Zoom a admis que son produit avait un problème avec Zoombombing. Plutôt que de modifier les protocoles de sécurité et les fonctionnalités par défaut, Zoom a cependant tourné le dos à ses utilisateurs, affirmant qu’ils étaient à blâmer pour leur incapacité à utiliser correctement le programme », a déclaré la plainte.

Exigences de règlement

Le règlement “exige que Zoom ne réintègre pas le SDK Facebook pour iOS dans les réunions Zoom pendant un an” et demande à Facebook de “supprimer toutes les données d’utilisateur américain obtenues à partir du SDK”. Les changements de sécurité et de transparence que Zoom a accepté d’inclure également les éléments suivants :

  • Développer et maintenir, pendant au moins trois ans, des protocoles et des procédures documentés pour l’admission d’applications tierces à diffuser aux utilisateurs via la « Place de marché » de Zoom.
  • Développer et maintenir un système de ticket d’assistance aux utilisateurs pour le suivi interne et la communication avec les utilisateurs au sujet des rapports d’interruption de réunion.
  • Développer et maintenir un processus documenté de communication avec les forces de l’ordre au sujet des perturbations de réunions impliquant du contenu illégal, y compris du personnel dédié pour signaler les perturbations de réunions en série aux forces de l’ordre.
  • Développez et maintenez des fonctionnalités de sécurité telles que des salles d’attente pour les participants, le bouton de suspension des activités de réunion et le blocage des utilisateurs de pays spécifiques pendant au moins trois ans.

Zoom serait nécessaire “pour mieux informer les utilisateurs sur les fonctionnalités de sécurité disponibles pour protéger la sécurité et la confidentialité des réunions, via un espace dédié sur le site Web de Zoom et des notifications de type bannière”. Le site Web de Zoom devra également inclure “des informations centralisées et des liens pour les parents dont les enfants utilisent des comptes K-12 fournis par l’école”.

Après l’annonce du règlement, Zoom a fait aux médias une déclaration qui n’admettait aucun acte répréhensible. “La confidentialité et la sécurité de nos utilisateurs sont des priorités absolues pour Zoom, et nous prenons au sérieux la confiance que nos utilisateurs nous accordent”, a déclaré Zoom. « Nous sommes fiers des progrès que nous avons réalisés sur notre plate-forme et sommes impatients de continuer à innover en mettant la confidentialité et la sécurité au premier plan. »

Leave a Reply