Le service est utilisé par des professeurs qui doivent donner des cours à distance, des artistes qui font des performances en direct, des amis qui veulent fêter un anniversaire ensemble même s'ils sont à des kilomètres les uns des autres, confinés chez eux par ces temps de lutte contre le Covid-19. Mais Zoom, l'application de vidéoconférence qui a le vent en poupe actuellement, intéresse aussi les autorités judiciaires américaines. 

Un recours collectif en justice a été déposé en Californie, lundi 30 mars, arguant que l'application avait partagé illégalement des données personnelles sensibles avec Facebook. Le même jour, le bureau du procureur général de New York a envoyé une lettre à la start-up américaine pour obtenir des éclaircissements sur la manière dont la vie privée des utilisateurs est protégée. 

Car la folle success-story de Zoom depuis le début de l'épidémie de coronavirus a attiré l'attention, aussi bien des organisations de défense de la vie privée en ligne que des pirates informatiques. Les équipes de l'appli de vidéoconférence ont dû modifier en toute hâte certaines des fonctions les plus discutables, il reste cependant des zones d'ombre qui pourraient valoir à la société, créé il y a neuf ans, une enquête en bonne et due forme des autorités américaines.

Terrain miné pour la vie privée

Jusqu'à la semaine dernière, les quelques 15 millions d'utilisateurs avançaient en terrain très miné pour leur vie privée lorsqu'ils rejoignaient Zoom pour une réunion de travail virtuelle avec des collègues ou cherchaient simplement à maintenir un semblant de lien social en organisant un chat vidéo à plusieurs.  

La longue liste des soucis avait donné lieu à un rapport au vitriol, le 24 mars, du très respecté Consumer Report, équivalent américain de 60 Millions de consommateurs. Zoom ne se contentait pas des utilisations à des fins publicitaires de certaines informations personnelles qui sont monnaie courante dans la Silicon Valley. Les règles de politique de confidentialité indiquent aussi que le service peut "partager avec des tierces entreprises" le contenu des discussions et les vidéos.

En d'autres termes, une séance de psychanalyse tenue en utilisant zoom ou encore les réponses d'écoliers durant un cours à distance pourraient être utilisées par des publicitaires. Pire, ces images seraient, en théorie, susceptibles d'être exploitées par des société travaillant sur des logiciels de reconnaissance faciale, souligne le Consumer Report. 

Une analyse de l'application par le site américain Vice a aussi démontré que Zoom préparait un rapport personnalisé sur chaque utilisateur spécifiquement pour Facebook.

"Zoom ne fait pas forcément tout ça, mais les termes et services de son application lui donnent une grande marge de manœuvre en la matière", écrit Bill Fitzgerald, spécialiste des questions de vie privée pour le Consumer Report.

La start-up n'est pas la seule à avoir un grand pouvoir sur le contenu des vidéos. Les administrateurs de chaque session (comme des employeurs qui organisent une réunion par exemple) peuvent récupérer l'intégralité de la vidéoconférence, peuvent savoir à tout instant qui se connecte au service, et combien de temps il l'utilise. Zoom offre même la possibilité d'être alerté si un participant à une vidéoconférence passe plus d'une trentaine de secondes à vagabonder ailleurs sur Internet. Difficile, donc, de faire un petit détour discrètement sur YouTube pendant qu'un collègue fait une présentation barbante… Un niveau de flicage 2.0 qui a alerté les défenseurs de la vie privée.

Zoombombing et webcam piratée

Critiqué de toute part, Zoom a procédé à une importante mise à jour de ses conditions d'utilisation qui adresse la plupart des reproches, dimanche 29 mars. La jeune société s'est, notamment, engagée à ne plus partager les informations personnelles avec Facebook et affirme, dorénavant, que le contenu d'une vidéo ne peut être utilisé à des fins publicitaires.

Restent les soucis de sécurité informatique qui sont au cœur de l'intérêt porté à Zoom par le bureau du procureur général de New York. "Nous aimerions savoir si les pratiques existantes en matière de sécurité informatique sont suffisantes pour faire face à l'augmentation soudaine en volume et en sensibilité des données qui transitent par les serveurs de Zoom", s'interroge l'autorité judiciaire new-yorkaise.

Ces derniers jours, des bidouilleurs informatiques ont découvert une faille permettant de s'inviter à une vidéoconférence sans y avoir été convié et de diffuser leur contenu sur l'un des écrans partagés. Ce phénomène, appelé "Zoombombing", a envahi les classes virtuelles aux États-Unis : des pirates informatiques viennent y projeter des vidéos pornographiques ou à caractères racistes et antisémites. Ainsi, le 24 mars, un néonazi a interrompu un cours sur l'antisémitisme en exhibant un tatouage de croix gammée sur son torse, a rapporté l'Anti-Defamation League.

Ce risque d'exposer les plus jeunes à des contenus haineux ou sexuels a poussé plusieurs écoles américaines à déconseiller l'utilisation de Zoom pour les cours à distance. Un paradoxe pour le bureau du procureur de New York qui regrette que cet outil "parfaitement adapté pour assurer un suivi scolaire" durant la période de confinement risque de se retrouver boycotté à cause de failles de sécurité informatique.

Mais ce n'est pas le seul problème. L'an dernier, une brèche avait été découverte dans l'application permettant à des pirates informatiques de prendre le contrôle des webcams utilisés par les participants à une visioconférence. Zoom n'avait corrigé le problème que 90 jours après en avoir été informé. 

Pour le bureau du procureur de New York, cette lenteur à réagir n'est pas de bon augure maintenant que Zoom a envahi des millions de foyers à travers le monde. C'est pourquoi, il voudrait s'assurer que le service a fait un ménage le plus complet possible des éventuelles failles qui pourraient être exploités par des acteurs malveillants.

Zoom a assuré vouloir "coopérer pleinement" avec les autorités. La start-up semble déterminée à réagir face aux critiques afin de ne pas ternir sa réputation à un moment clef pour sa croissance. Mais qu'en est-il des pratiques de ses concurrents – les Houseparty, Bunch et autres – qui gagnent aussi en popularité sans être soumis à la même vigilance des autorités ? Autant de services qui, bien qu'utiles en cette période de confinement, risquent d'ajouter un nouveau niveau de surveillance, que ce soit par les publicitaires ou les employeurs. Après les États qui utilisent de plus en plus les données téléphoniques pour s'assurer du respect des règles de confinement, ces outils de vidéoconférence sont une nouvelle démonstration de l'un des paradoxes de cette épidémie : plus les individus doivent s'isoler, moins ils semblent avoir de vie privée.