La sécurité de la plateforme de réunions en ligne Zoom, dont la popularité a explosé avec le confinement, inquiète nombre d'organisations. Hydro-Québec et la Caisse de dépôt demandent à leurs employés de ne pas l’utiliser, le gouvernement du Canada exige une approbation du ministère concerné et le gouvernement du Québec en déconseille la version gratuite, a constaté La Presse.

Ariane Krol Ariane Krol
La Presse

Marc Thibodeau Marc Thibodeau
La Presse

« Hydro-Québec a demandé à ses employés de ne pas utiliser la plateforme Zoom puisque nous offrons d’autres outils de conférence web qui assurent la confidentialité de notre travail », a résumé un porte-parole de la Société d’État, Louis-Olivier Batty, par courriel.

La Caisse de dépôt et placement du Québec (CDPQ) a émis une consigne similaire. « Pour des raisons de sécurité, nous demandons à nos employés de ne pas utiliser Zoom à des fins de travail pour la Caisse sur leurs appareils », a indiqué son porte-parole, Maxime Chagnon. « Mais nous ne les bloquons pas, car il peut y avoir des besoins spécifiques nécessitant cette plateforme », a-t-il précisé par courriel.

Ottawa demande de son côté à ses fonctionnaires d’utiliser des outils approuvés, tels Microsoft Teams, BlackBerry Messenger ou OutilsGC. « L’utilisation d’outils du nuage public tels que Slack, Zoom ou Google Hangouts » nécessite une permission spéciale, explique-t-on au Secrétariat du Conseil du Trésor du Canada. Une plateforme comme Zoom peut être utilisée seulement si les outils approuvés « ne sont pas disponibles » et « sous réserve de l’approbation du Ministère », précise la porte-parole, Bianca Healy. « Ces services ne doivent être utilisés que pour des discussions non classifiées et non sensibles qui seraient autrement autorisées dans un cadre ouvert et public », a ajouté Mme Healy par courriel.

Inquiétudes

La sécurité de Zoom a suscité de vives inquiétudes le printemps dernier, lorsque le Citizen Lab, groupe de recherche de l’Université de Toronto, avait révélé des aspects inquiétants du chiffrement et de la circulation des données. Le chiffrement était inférieur aux normes de l’industrie et aux indications de Zoom, a signalé l’organisme dans un rapport qui a fait grand bruit. De plus, des clés de chiffrement ont transité par des serveurs situés en Chine, et ce, même lorsque l’organisateur et tous les participants de la réunion se trouvaient à l’extérieur de la Chine, a dénoncé le Citizen Lab. « Nous n’avons pas de preuve que les autorités de la Chine ou d’un autre État ont obtenu les clés de chiffrement d’une réunion », mais « ce scénario est plausible », souligne l’organisme sur son site web.

Le gouvernement du Québec n’a pas émis de directive interdisant Zoom à sa haute fonction publique, mais la dirigeante principale de l’information (DPI) du Secrétariat du Conseil du trésor s’est montrée préoccupée. « La version gratuite de ce produit est déconseillée puisque les modalités entourant l’installation des correctifs de sécurité demeurent, à ce jour, inconnues », indique la DPI dans une note envoyée aux ministères et aux organismes. Un organisme qui choisit d’utiliser Zoom « devrait privilégier la version entreprise » parce que son « acquisition en bonne et due forme […] favorise l’accès aux correctifs de sécurité du fournisseur », indique l’extrait de la note envoyée par la porte-parole du Secrétariat, Catherine Paquet. Le Conseil du trésor, comme « de nombreux ministères et organismes », utilise Microsoft Teams, précise Mme Paquet.

La sécurité de Zoom n’inquiète pas seulement au Québec et dans le reste du Canada. Le gouvernement indien a interdit à ses fonctionnaires de l’utiliser au travail, Taiwan l’a déconseillé à ses agences gouvernementales, et en France, la Direction interministérielle du numérique et le secrétaire d’État chargé du numérique ont déconseillé son utilisation professionnelle par les agents de l’État, a signalé l’AFP.

Le télétravail et l’isolement imposés par le confinement ont dopé la popularité de la plateforme. En mars dernier, le nombre de participants a dépassé les 200 millions par jour, contre environ 10 millions en décembre 2019, a fait savoir l’entreprise.

Zoom, qui est cotée au Nasdaq, a annoncé plusieurs correctifs, dont une meilleure norme de chiffrement.

La norme utilisée est maintenant « une des meilleures de l’industrie », confirme le spécialiste en cybersécurité Jean-Philippe Racine, président du Groupe Cyberswat. « Mais le chiffrement n’est pas de bout en bout », rappelle-t-il.

Zoom a promis une fonction de chiffrement de bout en bout pour protéger les réunions, mais le lancement de la version bêta est envisagé seulement en juillet, a indiqué le PDG, Eric S. Yuan, sur le blogue de l’entreprise.

« Se garder une réserve »

Une organisation qui souhaite utiliser Zoom devrait opter pour la version payante, conseille M. Racine. La version payante, explique-t-il, comprend notamment des options qui permettent de voir dans quelles régions du monde se trouvent les centres de données utilisés (Canada, États-Unis, Europe, Chine, etc.), et de désélectionner celles à exclure.

« D’un point de vue gouvernemental où on aurait à parler de stratégie gouvernementale et de politique internationale, je trouve que le doute est suffisant pour ne pas utiliser Zoom », considère-t-il toutefois. « Une entreprise qui parle de sa propriété intellectuelle, d’instance de brevet, de stratégie gouvernementale pourrait se garder une réserve », estime-t-il également.

Les organisations ont aussi la responsabilité de prendre le temps de configurer les outils qu’elles utilisent, note M. Racine. « La grande question, c’est : “Est-ce que les gens l’ont configuré au meilleur des configurations possible ?” Dans le doute, on valide avec des spécialistes », dit-il.