(J’ai été bavard, pardon. Pour sauter directement à la conclusion, cliquez ici.)
Inutile de décrire ce qu’est Zoom : la pandémie que nous traversons l’a imposé à nos vies professionnelles (rendez-vous, séminaires, formations, cours) et personnelles.
Succès mérité, dû à la richesse de ses fonctionnalités, ainsi que la fluidité et la (relative) simplicité de son fonctionnement, que je décrivais dans ce billet trois jours avant que la France se mette en confinement.
Malgré moi, mais avec plaisir, lors de ces dernières semaines j’ai endossé ma casquette de formateur pour aider des PME de notre belle région à trouver des modes de fonctionnement (notamment en partenariat avec ENE et la CCI Lyon Métropole Saint-Etienne Roanne), des associations à conserver le lien, des personnes seules à ne pas tomber dans l’isolement.
Application star, Zoom s’est donc logiquement retrouvée sous les feux de la rampe. Cela attise la soif d’articles aux titres sensationnalistes.
Exemple : les révélations pseudo-fracassantes de zoombombing (terme qui a fait son entrée dans Wikipedia le 28 mars). Même que le FBI est sur le coup, attention hein. En fait, les organisateurs de ces réunions sont seuls responsables de leurs mésaventures, pour cause de mauvais choix dans les options de réunion, et de mauvaises pratiques dans la diffusion de leurs informations – gageons que d’ici quelques semaines, on n’en entendra plus parler, tout comme les adeptes du mail ont appris depuis bien longtemps à faire usage du cci (en attendant, on peut encourager à la lecture de ce très bon article de 01net pour faire connaître bons réglages et bonnes pratiques).
Même The Guardian, que je respecte (notamment parce que c’est un des rares media généralistes qui offre des articles de fond couvrant les sujets technologico-sociétaux), a écrit un article intitulé ‘Zoom is malware’: why experts worry about the video conferencing platform qui manque d’objectivité à mon sens, en commençant par son titre.
Heureusement, certains media font honneur à leur profession, comme Ars Technica dans Zoom’s privacy problems are growing as platform explodes in popularity, et surtout The Verge dans Zoom quickly fixes ‘malware-like’ macOS installer with new update.
Zoom, planche pourrie ou salut de l’humanité ?
Bien sûr, il y a du vrai, même dans le plus racoleur de ces articles. Ce vrai se mélange au faux, la confusion s’installe, et l’on m’interpelle de plus en plus fréquemment « Dis, ton Zoom, là, j’ai vu sur Internet que c’était mal de s’en servir. T’es pas en train de me mettre des virus des fois ? Zoom est-il la meilleure alternative ? ». Comme je comprends ces personnes. L’informatique est une jungle pour un non-initié. C’est pour eux que je vais tenter d’apporter une réponse. Et comme j’ai été trop long dans cette introduction, je vais tâcher d’être plus synthétique. :)
Auparavant, une petite clarification s’impose : je ne bosse pas pour Zoom, et je n’ai aucun lien d’aucune sorte avec cette société ou ses représentants, hormis le fait d’en être un utilisateur averti.
Donc, disons-le tout net :
Zoom n’est pas parfait
En fait, Zoom souffre de deux maux :
1) Zoom peut avoir des failles de sécurité.
Ces failles de sécurité, tous les logiciels en ont (y compris les alternatives à Zoom). La vraie question est de savoir en combien de temps l’éditeur les corrige. On a connu des champions du monde de la lenteur (Macromedia Flash, Java, Internet Explorer), et il y a toujours des scandales sanitaires en la matière (je pense à ces millions de smartphones Android jamais ou plus patchés quelques trimestres après leur mise sur le marché).
Concernant Zoom, mon observation récente est qu’ils se sont montrés très réactifs pour traiter les failles qui leur ont été révélées. Par exemple, l’une d’entre elles, relativement grave, a été exposée mardi 30 mars, et corrigée deux jours plus tard.
2) Zoom traite – ahem – cavalièrement les données de ses utilisateurs
Evidemment, Zoom nie, ou mitige.
L’affirmation est peut-être fausse, hormis une utilisation purement technique pour faire tourner cette belle mécanique logicielle.
A mon avis, elle est probablement vraie. L’Histoire des éditeurs de logiciels a montré que les dénégations officielles et autres CGU ne valent pas tripette, surtout pour un éditeur basé à NSAland.
C’est le reproche 2 qui est le plus gênant. C’est celui qui justifierait de rechercher une alternative.
Mais – et là, je sais que je ne vais pas faire plaisir aux puristes – dans cette crise où nombre de PME jouent leur survie, nous sommes contraints au pragmatisme, au moins sur le court-terme.
Donc, étant donné que :
a) je ne connais pas d’alternative open-source (qui pourrait garantir le respect des données utilisateurs) ou même propriétaire, franco-française ou non, qui concentre toutes les qualités de Zoom.
Ces qualités sont actuellement primordiales pour les PME avec qui je travaille, qui ont prioritairement une continuité d’activité – et parfois des missions essentielles – à assurer, et qui, sauf exceptions, font transiter par Zoom des infos peu voire pas confidentielles.
Parmi les alternatives intéressantes, on peut prendre Jitsi en exemple. Jitsi fait le job, mais il est moins efficace, moins fluide, moins riche en fonctionnalités (comme le dessin sur écran partagé, ou les sous-groupes). Goûtez la différence, et si toutefois Jitsi vous convient, choisissez plutôt un serveur hébergé en France, comme cette instance généreusement mise à disposition par Scaleway.
Mon verdict : incontestablement un beau projet open-source à suivre, qui peut convenir à certains besoins, mais pas aussi étendus que ceux auxquels Zoom subvient à ce jour.
b) Je vois une écrasante majorité d’entreprises employer massivement des applications à l’utilisation contestable des données de leurs utilisateurs : Windows 10, Google Chrome, Microsoft Teams, Dropbox, OneDrive, Google Drive, G Suite, Whatsapp, Office 365, Wetransfer, Gmail, Slack, LinkedIn, Android avec sa surcouche Google, iOS, Google Analytics, Google Adwords, et j’en passe.
Je suis donc fataliste, mais pourquoi donc lutter contre Zoom lorsque l’on est déjà à poil ?… :/
Il est temps de conclure,
et pour le court-terme en tous cas, ma position est la suivante : pourquoi se refuser Zoom, surdoué de la collaboration distancielle, quand on n’est pas dans des secteurs très sensibles (aéro, défense, spatial, données médicales, etc.) ?
Il faut juste bien former ceux qui sont conduits à être animateurs :
- pour que leurs réunions se passent au mieux, sans perturbations dues à un manque de maîtrise ou à de mauvais plaisants,
- et pour qu’ils utilisent toujours les versions les plus récentes du logiciel (explications).
Pour le moyen terme, on peut raisonnablement espérer que, dans un monde post-Covid-19 qui aura pris goût au distanciel, des offres fiables et sures auront vu le jour. Personnellement, je rêve d’une solution open-source aussi accessible et performante que Zoom.
Addendum du 8 avril 2020
J’ai omis de parler du scandale de l’encryption bout-à-bout qui ne l’était pas réellement alors qu’ils prétendaient le contraire. Un vrai sujet à lui tout seul, mais ma conclusion reste la même. Je vous invite à lire cette publication (très technique), ou plus simplement à être conscient que vos échanges sur Zoom ne sont pas confidentiels (au même titre que les emails, par exemple).
Liens intéressants
Je listerai ici quelques articles qui contribuent à dissiper les nuages de fumée autour de cette affaire Zoom :
- Zoom Has Security Flaws. It’s Still Fine to Use, 3 avril, https://www.vice.com/en_us/article/n7jg7m/zoom-has-security-flaws-its-still-fine-to-use : une des premières réactions offrant un peu de recul, par le rédac’chef de Vice
- The Strange Zoom Pile-On, 6 avril, https://www.linkedin.com/pulse/strange-zoom-pile-on-robert-walker/. « L’étrange tabassage de Zoom » : l’analyse la plus fine que j’ai lue concernant ce qui ressemble de plus en plus à une campagne de dénigrement de Zoom. Où l’on lit que Zoom n’est pas tout blanc, mais qu’il a beaucoup de mérites, qualités et circonstances atténuantes, et que décidément, tous ces failles 0-day dévoilées sans prévenir l’éditeur en pleine pandémie, c’est bien étrange…
- To Zoom or not to Zoom: a Data Security Pro Weighs in, 6 avril, https://medium.com/@szewong/to-zoom-or-not-to-zoom-a-data-security-pro-weighs-in-2665f89cdf92 : une analyse méthodique contextualisée des reproches faits à Zoom.
- Zoom sur la sécurité de Zoom, 9 avril, https://www.securitecloud.com/actualites/zoom-sur-la-securite-de-zoom/ : une synthèse bien faite des vulnérabilités récentes et de leur traitement, qui arrive aux mêmes conclusions que le présent billet.
- In Defense of Zoom: China FUD, Performance Tradeoff, Open Source, 12 avril, https://interconnected.blog/zoom-china-fud-performance-tradeoff-open-source/ : parle aussi de FUD concernant de nombreux reproches adressés à Zoom, de l’encryption de bout-en-bout qui n’en est pas, et d’un possible passage (très partiel) de Zoom à l’open-source.
- Pourquoi HS2 a choisi la plate-forme ZOOM pour ses formations en distanciel ?, 16 avril, vidéo sur LinkedIn : une sommité française de la sécurité des systèmes d’information fait une analyse très pertinente sur le sujet.
- Interrupted transmission- zooming in on video conferencing privacy policies, 2 avril, https://noyb.eu/en/interrupted-transmission : quid de la compatibilité RGPD de Zoom ? de ses concurrents ?
- It’s Not Just Zoom. Google Meet, Microsoft Teams, and Webex Have Privacy Issues, Too., 30 avril, https://www.consumerreports.org/video-conferencing-services/videoconferencing-privacy-issues-google-microsoft-webex/ : ben oui y’a pas que Zoom, c’est une évidence. Voici une étude qui l’étaie.
Illustrations :
James Lafayette – Sarah Bernhardt as Hamlet, with Yorick’s skull (recadré et détourné)
Domenico Fetti – L’Ange gardien protégeant un enfant de l’empire du démon (recadré)