Zoom, l’application de vidéoconférence particulièrement prisée en ces temps de confinement et de télétravail, a divulgué les informations personnelles de milliers d'utilisateur·ices, y compris des adresses mail et des photos, et a donné à des inconnu·es la possibilité de lancer un appel vidéo avec elleux via Zoom.
Le problème réside dans le paramètre « Company Directory », qui ajoute automatiquement des personnes à la liste de contacts d'un·e utilisateur·ice si elles se sont connectées avec une adresse électronique qui a le même domaine. Il est ainsi plus facile de retrouver un collègue à appeler lorsque le domaine appartient à une entreprise spécifique. Mais plusieurs utilisateur·ices se sont connecté·es avec leur adresse personnelle et Zoom les a mis en relation avec des milliers d'autres personnes comme s'iels travaillaient tou·tes pour la même entreprise, mettant ainsi les informations personnelles de chacun·e à la vue de tou·tes. « J'ai été choqué ! Je me suis inscrit (avec un pseudo, heureusement) et j'ai vu apparaître 995 parfait·es inconnu·es avec leur nom, photos, adresse mail et tout », dit Barend Gehrels, un utilisateur de Zoom affecté par le problème.
Gehrels nous a fourni une capture d'écran de ce qu'il voit lorsqu'il se connecte à Zoom, avec près de 1 000 comptes différents répertoriés dans la section « Company directory ». « Ce sont toutes des personnes que je ne connais pas, bien sûr », dit-il. Sa copine a eu le même problème avec un autre fournisseur de messagerie et plus de 300 personnes ont été ajoutées dans ses contacts. « Si vous vous inscrivez sur Zoom via un fournisseur non standard (c'est-à-dire pas Gmail, Hotmail, Yahoo, etc.), vous verrez alors les détails de TOU·TES les utilisateur·ices passant par ce fournisseur : leurs noms, prénoms, adresses électroniques, photos de profil (s'iels en ont) et leur statut. Et vous pourrez aussi les appeler par vidéo », poursuit Gehrels.
Sur son site, Zoom indique : « Par défaut, votre répertoire de contacts contient les utilisateur·ices de la même organisation, qui sont sous le même compte ou dont l'adresse mail utilise le même domaine (à l'exception des domaines utilisés publiquement comme gmail.com, yahoo.com, hotmail.com, etc.) sous la section Company Directory. »
Toutefois, le système de Zoom n’exempte pas tous les domaines utilisés pour le courrier électronique personnel. Gehrels dit avoir rencontré le problème avec les domaines xs4all.nl, dds.nl et quicknet.nl. Ce sont tous des fournisseurs d'accès à Internet (FAI) néerlandais qui offrent des services de courrier électronique.
Sur Twitter, d'autres utilisateur·ices néerlandais·es rapportent le même problème : « Je viens de consulter la version gratuite à usage privé de Zoom et je me suis inscrit avec mon mail personnel. J'ai maintenant les noms, les adresses électroniques et les photos de 1000 personnes dans l'annuaire de mon entreprise. »
Le fournisseur d'accès néerlandais XS4ALL a tweeté en réponse à une plainte : « C'est quelque chose que nous ne pouvons pas contrôler. Rapprochez-vous de Zoom pour voir s’iels peuvent vous aider. » Le fournisseur d'accès néerlandais DDS a dit être au courant du problème, mais n’a pas reçu de plaintes directes de ses client·es à ce sujet.
La semaine dernière, Zoom a mis à jour la version iOS de son application après qu’on a découvert qu'elle envoyait des données analytiques à Facebook. Lundi, un utilisateur a intenté une action en justice contre Zoom pour transfert de données. Le même jour, le procureur général de New York a envoyé une lettre à Zoom pour savoir quelles mesures de sécurité l'entreprise avait mises en place maintenant que l'application est devenue extrêmement populaire dans le monde entier. Pour éteindre le feu, l'entreprise a publié un communiqué, le 1er avril, dans lequel elle s'engage à faire preuve de transparence auprès des utilisateur·ices.
Ne ratez plus jamais rien : inscrivez-vous à notre newsletter hebdomadaire et suivez VICE Belgique sur Instagram.
Cet article a été publié sur VICE US.