Zoom divulgue les données de ses utilisateurs à des inconnus

Zoom, l’application de vidéoconférence particulièrement prisée en ces temps de confinement et de télétravail, a divulgué les informations personnelles de milliers d'utilisateurs, y compris des adresses mail et des photos, et a donné à des inconnus la possibilité de lancer un appel vidéo avec eux via Zoom.

Le problème réside dans le paramètre « Company Directory », qui ajoute automatiquement des personnes à la liste de contacts d'un utilisateur si elles se sont connectées avec une adresse électronique qui a le même domaine. Il est ainsi plus facile de retrouver un collègue à appeler lorsque le domaine appartient à une entreprise spécifique. Mais plusieurs utilisateurs se sont connectés avec leur adresse personnelle et Zoom les a mis en relation avec des milliers d'autres personnes comme s'ils travaillaient tous pour la même entreprise, mettant ainsi les informations personnelles de chacun à la vue de tous. « J'ai été choqué ! Je me suis inscrit (avec un pseudo, heureusement) et j'ai vu apparaître 995 parfaits inconnus avec leur nom, photos, adresse mail et tout », dit Barend Gehrels, un utilisateur de Zoom affecté par le problème.

Gehrels nous a fourni une capture d'écran de ce qu'il voit lorsqu'il se connecte à Zoom, avec près de 1 000 comptes différents répertoriés dans la section « Company directory ». « Ce sont toutes des personnes que je ne connais pas, bien sûr », dit-il. Sa copine a eu le même problème avec un autre fournisseur de messagerie et plus de 300 personnes ont été ajoutées dans ses contacts. « Si vous vous inscrivez sur Zoom via un fournisseur non standard (c'est-à-dire pas Gmail, Hotmail, Yahoo, etc.), vous verrez alors les détails de TOUS les utilisateurs passant par ce fournisseur : leurs noms, prénoms, adresses électroniques, photos de profil (s'ils en ont) et leur statut. Et vous pourrez aussi les appeler par vidéo », poursuit Gehrels.

Sur son site, Zoom indique : « Par défaut, votre répertoire de contacts contient les utilisateurs de la même organisation, qui sont sous le même compte ou dont l'adresse mail utilise le même domaine (à l'exception des domaines utilisés publiquement comme gmail.com, yahoo.com, hotmail.com, etc.) sous la section Company Directory. »

Toutefois, le système de Zoom n’exempte pas tous les domaines utilisés pour le courrier électronique personnel. Gehrels dit avoir rencontré le problème avec les domaines xs4all.nl, dds.nl et quicknet.nl. Ce sont tous des fournisseurs d'accès à Internet (FAI) néerlandais qui offrent des services de courrier électronique.

Sur Twitter, d'autres utilisateurs néerlandais rapportent le même problème : « Je viens de consulter la version gratuite à usage privé de Zoom et je me suis inscrit avec mon mail personnel. J'ai maintenant les noms, les adresses électroniques et les photos de 1000 personnes dans l'annuaire de mon entreprise. »

Le fournisseur d'accès néerlandais XS4ALL a tweeté en réponse à une plainte : « C'est quelque chose que nous ne pouvons pas contrôler. Rapprochez-vous de Zoom pour voir s’ils peuvent vous aider. » Le fournisseur d'accès néerlandais DDS a dit être au courant du problème, mais n’a pas reçu de plaintes directes de ses clients à ce sujet.

La semaine dernière, Zoom a mis à jour la version iOS de son application après qu’on a découvert qu'elle envoyait des données analytiques à Facebook. Lundi, un utilisateur a intenté une action en justice contre Zoom pour transfert de données. Le même jour, le procureur général de New York a envoyé une lettre à Zoom pour savoir quelles mesures de sécurité l'entreprise avait mises en place maintenant que l'application est devenue extrêmement populaire dans le monde entier. Pour éteindre le feu, l'entreprise a publié un communiqué, le 1er avril, dans lequel elle s'engage à faire preuve de transparence auprès des utilisateurs.

VICE France est aussi sur Twitter, Instagram, Facebook et sur Flipboard.