À quoi les experts en protection des données doivent-ils faire attention avec Zoom ?
Ces deux dernières années, l'utilisation de la vidéoconférence, notamment avec le logiciel Zoom, a fait un bond en avant. Dans les bureaux et les salles de classe, il est difficile de fournir une expérience à distance attrayante tout en maintenant une communication efficace avec les camarades de classe et les coéquipiers.
C'est pourquoi l'utilisation de services de vidéoconférence et de conférence en ligne, d'enseignement, de réunions ou de webinaires, tels que Zoom, est souvent souhaitable. Toutefois, l'utilisation d'un tel outil doit respecter les exigences du GDPR en matière de vie privée et de protection des données, même en temps de crise. Lors du choix de la solution appropriée, une entreprise ou une organisation devrait examiner et évaluer soigneusement les conditions juridiques et techniques et documenter le processus de décision.
Lors de l'utilisation de Zoom, différents types de données sont traités. La quantité d'informations d'identification que l'utilisateur fournit est laissée à sa discrétion. L'indication du nom est en principe requise pour démarrer une réunion en ligne ou pour entrer dans la salle de réunion. Lors de la création d'un compte ou de l'ajout d'autres données personnelles, Zoom traite les données suivantes :
- Données des utilisateurs :
Prénom, nom, téléphone (facultatif), adresse électronique, mot de passe (si "Single Sign-On" n'est pas utilisé), photo de profil (facultatif), service (facultatif)
- Métadonnées de la réunion:
Sujet, description (facultatif), adresses IP des participants, informations sur le périphérique/matériel. - Si enregistrement (facultatif) :
Fichier MP4 de tous les enregistrements vidéo, audio et de présentation, fichier M4A de tous les enregistrements audio, un fichier texte du chat de la réunion en ligne. - En cas de connexion par téléphone :
o des informations sur les numéros d'appel entrants et sortants, le nom du pays, l'heure de début et de fin. Si nécessaire, d'autres données de connexion telles que l'adresse IP de l'appareil peuvent être enregistrées.
En avril 2020, la Federal Trade Commission (FTC) a critiqué Zoom pour sa définition vague du chiffrement de bout en bout (E2E) et son stockage hypocrite des clés cryptographiques. Zoom a ensuite ajouté ses paramètres E2E pour permettre aux données de rester entre deux utilisateurs de Zoom. Toutefois, ce paramètre n'est pas activé par défaut et doit être activé manuellement dans les paramètres de Zoom.
Un autre problème rencontré par Zoom était celui des "Zoom bombings", qui permettaient à toute personne possédant un code d'identification Zoom de passer un appel. Cela a incité Zoom à ajouter une fonction de salle d'attente qui permet à l'administrateur de laisser les utilisateurs se joindre individuellement à un appel, ainsi que de passer un appel protégé par un mot de passe, etc. Comme le mot de passe de Zoom pouvait être piraté en moins de 30 minutes, Zoom a remplacé le mot de passe à six chiffres par des caractères alphanumériques et des mots de passe créés par l'administrateur.
De nombreux autres problèmes de sécurité ont été découverts : La vente de données à Facebook par les utilisateurs qui se sont inscrits sur la plateforme sociale via Zoom et au logiciel qui se télécharge sur les appareils iOS. ainsi que la possibilité d'activer les caméras des participants et d'ajouter de force des utilisateurs à un appel. Les boîtes de discussion ont également posé problème, car les pirates pouvaient les manipuler et créer des fichiers GIF malveillants, qui ont depuis été interdits. D'autres types de fichiers que les pirates envoyaient aux utilisateurs via la chatbox étaient par exemple des fichiers compressés comme les fichiers .zip, Untitled.html, Untitled.Properties, Untitled.rtf, et Untitled.txt. L'administrateur peut encore décider quels types de fichiers peuvent être envoyés dans la chatbox.
Les vidéoconférences pour les entreprises ne doivent pas nécessairement représenter un risque pour la sécurité. Outre l'emplacement des serveurs et le fournisseur de services, les aspects suivants doivent être pris en compte lors du choix du logiciel approprié :
- Existe-t-il une version professionnelle de l'outil souhaité ? Ces versions offrent souvent des normes de sécurité encore plus élevées. Une utilisation professionnelle est-elle autorisée ?
- Le système de vidéoconférence offre-t-il des possibilités de processus et de paramétrage respectueuses de la protection des données (art. 25 (2) RGPD) ?
- La transmission se fait-elle sous forme cryptée ? Comment les informations sont-elles cryptées (par ex. de bout en bout) ?
- Un consentement explicite est-il nécessaire pour la transmission ou l'enregistrement sur écran ?
- Les historiques des appels et les enregistrements sont-ils effacés à la fin de l'appel ? Si ce n'est pas le cas, est-il possible de changer cela ?
- Des profils de comportement des participants sont-ils établis ? Si oui, cette fonction peut-elle être désactivée ?
- pour toutes les fonctions de suivi, d'observation, de journalisation, de partage d'écran et d'enregistrement, il est recommandé de toujours vérifier si ces fonctions sont obligatoires et/ou peuvent être désactivées dans les paramètres
Bien que Zoom ait été critiqué à plusieurs reprises, l'entreprise travaille en permanence avec des chercheurs en sécurité pour trouver des failles et a corrigé la plupart des problèmes de sécurité alarmants. Les utilisateurs doivent néanmoins se méfier des e-mails d'hameçonnage contenant des invitations Zoom, envoyés avec des objets courants tels que "Zoom invite", qui demandent aux clients de s'inscrire. Il est également recommandé aux administrateurs et aux utilisateurs de Zoom de créer des réunions protégées par mot de passe, d'utiliser la fonction de salle d'attente et de verrouiller la session dès que tous les participants sont présents.
Néanmoins, il est toujours plus sûr de demander conseil aux experts en protection des données de 2BAdvice pour s'assurer que les outils utilisés par vos employés sont conformes aux normes de protection des données.