Le client macOS de Zoom ne respecte toujours aucune bonne pratique

Nicolas Furno |

À l’heure du confinement, tous les services de visioconférence ont le vent en poupe, mais c’est clairement Zoom qui sort son épingle du jeu. Jusque-là surtout utilisé dans les entreprises, ce service a trouvé de nombreux adeptes chez les particuliers. Il faut dire qu’il a plusieurs avantages : il ne nécessite pas de compte, il est très simple à utiliser et il offre quelques fonctions amusantes, comme la possibilité de changer le fond derrière soi.

La webcam d’un ancien MacBook Pro (image gordon mei (CC BY-NC-ND 2.0))

Mais Zoom, c’est aussi cette app qui permettait d’activer la webcam d’un Mac à distance sans votre autorisation. Cette faille de sécurité a été rapidement corrigée dans la foulée, y compris par Apple depuis ses serveurs, mais l’app n’est pas un bon élève sur le Mac pour autant. Pour preuve, son installation ne respecte absolument aucune bonne pratique de macOS, puisque tout est fait à partir du script chargé en théorie de vérifier si une app peut être installée.

Pour installer le client macOS de Zoom, vous ne téléchargez pas directement une app, mais un fichier pkg qui va servir à installer les ressources nécessaires. C’est une pratique courante et parfaitement légitime, surtout pour les apps les plus complexes. Pour installer l’app, il faut alors ouvrir ce fichier et suivre les instructions. La première étape vérifie que vous pouvez effectuer l’installation, il s’agit en général essentiellement de comparer la version installée de macOS avec les versions compatibles avec l’app.

Cette étape repose sur un script qui devrait être assez simple, puisque l’installation des ressources est effectuée dans la suite du processus. Pas pour Zoom, qui a choisi de tout placer dans ce tout premier script de vérification. Long de 466 lignes, il effectue l’intégralité des opérations d’installation de toutes les ressources nécessaires et ferme la fenêtre d’installation de macOS dans la foulée. Cette pratique n’est pas mauvaise en soi, et d’ailleurs le script révèle que Zoom se contente d’installer l’app comme le ferait l’assistant dédié aux paquets de macOS.

Ce script est censé uniquement vérifier si Zoom peut être installé sur un Mac. Comme en témoigne sa longueur (plus de 460 lignes), il fait en vérité bien plus que cela, puisque c’est lui qui se charge de tout installer (image @cabel).

Le plus gênant, c’est que le processus se fait sans l’aval de l’utilisateur. En temps normal, une fois les vérifications effectuées, vous pouvez interrompre l’installation, jeter le fichier pkg et il ne se sera rien passé. Avec Zoom, c’est déjà trop tard, tout est installé sur votre Mac. Plus gênant, le script demande le mot de passe de la session et il pourrait faire absolument tout et n’importe quoi dans la foulée, ce qui est la porte ouverte pour des failles de sécurité. Au passage, une installation propre est possible avec quelques commandes dans le terminal.

Pour ne rien arranger, le script est bourré de fautes et l’ensemble ressemble plus au travail bâclé d’un amateur qu’à un outil professionnel. Le travail est fait malgré tout et ce n’est pas un problème en soi, mais comme le souligne le blogueur John Gruber, cela prouve à nouveau que Zoom n’a pas une attitude très sérieuse en matière de sécurité des données. Ce n’est pas une entreprise malveillante, mais ses apps ne sont pas développées avec le sérieux nécessaire pour un service si populaire et qui manipule des données aussi sensibles qu’un flux vidéo de votre domicile.

Si vous avez vraiment besoin de Zoom, John Gruber recommande ainsi soit de passer par la version web du service, soit d’utiliser la version iOS. Certes, celle-ci vient de faire la polémique parce qu’elle envoyait inutilement des données à Facebook, prouvant une fois de plus que la sécurité des données personnelles est vraiment prise à la légère par l’entreprise. Mais il y a au moins la validation de l’App Store et le processus d’installation imposé par Apple pour éviter les dérives.

avatar moitoutsimplement | 

Mince, et moi qui suit obligé de l’utiliser. J’organise des réunions d’un petit groupe où je fais du partage d’écran.
J’ai fait un courrier la semaine dernière à leur service privacy, j’attends toujours la réponse.

Via l’interface web, ça fonctionnerait tout aussi facilement ?

avatar nespresso92 | 

@moitoutsimplement

Via l’interface web il nécessaire d'installer une application mais chez moi cela n’a jamais fonctionné. Je n'utilise donc que la version iOS que je désinstalle dans la foulée.

avatar Osei Tutu | 

@nespresso92
‹‹quand même›› au lieu de ‹‹comme même››. Cordialement

avatar nespresso92 | 

@Osei Tutu

🥴

avatar iftwst | 

@moitoutsimplement

Pourquoi ne passes tu pas sur Skype ?
Je fais mes réunions avec.

avatar moitoutsimplement | 

@iftwst

La plupart des autre utilisateurs ont trouvé Skype mois stable. De mon côté je m’en rends moins compte en tant qu’organisateur.

Zoom à quand même l’avantage de pouvoir être utilisé sans être inscrit, et de pouvoir rejoindre une réunion avec simplement l’identifiant de réunion (et le mot de passe associé éventuellement).

avatar iftwst | 

@moitoutsimplement

Skype aussi avec Skype online.

Un mail et un lien que tu envoies à tes congé tes et hop ça marche.

avatar iftwst | 

@moitoutsimplement

A tes contacts pardon

avatar Biking Dutch Man | 

Zoom ne communique pas, n’écoute pas les demandes concernant les failles de sécurité à combler. À éviter à tout prix sur Mac OS en tout cas, un aspirateur à données.

avatar oomu | 

zoom est un infect programme, mais il est populaire en milieu professionnel. Je suppose l'inertie.

Tant pis, faut faire avec. Mais chaque fois que je peux, je pousse vers autre chose.

avatar ben67fr | 

Le problème, c’est qu’il est difficile de trouver autre chose pour faire classe en ayant une vingtaine d’élèves visibles en vidéo. Je ne cherche pas une appli type tableau blanc, mais uniquement de l’interaction vidéo en live.

avatar fornorst | 

@ben67fr

Google Meet fonctionne vraiment très bien pour ça je trouve :)

avatar ben67fr | 

@fornorst

Il me semble qu’il faut un compte pro donc payant pour 20 flux vidéo simultané ?

avatar fornorst | 

@ben67fr

C’est tout à fait vrai, je ne savais pas que tu avais ça comme contrainte, désolé
A noter cependant qu’il suffit d’une personne avec un compte pro ;)

avatar BLM | 

@fornorst
«Google Meet fonctionne vraiment très bien pour ça je trouve :)»
Oui, mais bon… éviter Zoom pour le remplacer par une solution Google, c’est "ouvrir une grosse voie d’eau" pour ne pas courir le risque d’être coulé par les gaulois.
;->

avatar fornorst | 

@BLM

J’aime beaucoup l’analogie 😂 mais plus sérieusement je ne pense pas qu’une web app Google avec tout le sérieux qu’ils ont en matière de sécurité des données (oui oui !) puisse être comparé à l’installation d’une app native avec les droits d’admin par un script visiblement bourré de fautes (je ne suis pas allé vérifier par moi même). Faut pas pousser non plus ;)

avatar Matlouf | 

J'ai un peu le même souci, on va essayer Framatalk puis WebEx. L'un est open source, l'autre vient de Cisco, que j'imagine mal refourguer mes données à Facebook ou Google.

avatar seb_chb | 

@Matlouf

Webex est top niveau fonctionnalité, intégration et support (on l’utilise depuis 1 an dans la boîte où je travaille, qui est un groupe international).
Depuis sa mise en place nous n’avons pas eu un seul incident

Le seul soucis c’est le prix des licences. C’est la meilleure solution du marché du conferencing, mais ça reste du Cisco donc assez cher ...

avatar Matlouf | 

Webex est gratuit pour un particulier, avec 100 participants.

avatar Oncle Melchior | 

@ben67fr

Il existe « maclassevirtuelle » du CNED

avatar iftwst | 

@ben67fr

Skype

avatar nykk | 

@ben76fr
J'ai peur que Zoom ne respecte pas le RGPD... Chez nous, les collègues utilisent Discord, Whatsapp, Snap, (qui sont utilisés par les élèves, mais ne respectent pas le RGPD) ou la classe virtuelle du CNED, mais elle a l'air de ramer pas mal. Il faudrait vraiment que le Ministère développe une application pour les futures continuités pédagogiques. Bon courage, collègue

avatar joey49 | 

Microsoft Teams fonctionne très bien aussi. Je diffuse mes cours depuis cette app.

avatar ben67fr | 

@joey49

Team me pose problème dans le sens ou c’est un client lourd à installer. Et je parle de faire la causette à une 20e d’enfants de 9 ans CM1/CM2. Je ne me vois pas leur demander, ni d’avoir un compte, ni d’installer un client lourd sur un poste qui souvent n’est pas le leur.

avatar nespresso92 | 

@ben67fr

L'absence de plateforme d'école numérique entraine l'usage de plateforme grand public comme Discord . Mais quid de l'impact sur la protection des données personnelles des élèves ? Et je ne parle pas du vol de données à l’apéro avec Houseparty !

avatar BLM | 

@nespresso92
«L'absence de plateforme d'école numérique entraine l'usage de plateforme grand public comme Discord .»
Le CNED propose une plateforme de classe virtuelle.

avatar KingAbas | 

Tu peux utiliser TEAMS avec sa web app et dans ce cas il n'y a rien a installer. Si tu as un compte Office 365, tu crées une réunion, t'envois le lien à tout le monde et c'est tout. Pour ça d'ailleurs Skype marche très bien également, c'est la même base technique que Teams pour la partie visioconférence (sans les outils pour la partie travail collaboratif).

avatar austinforest | 

Vous pourriez signaler que l’application désactive les mises à jours de macOS et les MAJ de sécurité. C’est écrit en toute lettre dans l’installateur c’est grave!

avatar mat16963 | 

@austinforest

Ah bon ? Je vais aller contrôler ça alors

avatar mat16963 | 

@austinforest

Mais tu en es sûr ?

Je suis allé vérifier et elles sont bien activées, dans les préférences système en tout cas 🤔

avatar austinforest | 

@mat16963

Effectivement. Mais la semaine dernière en voulant installer pour la classe de mon fils, j’ai bien vu un écran dans l’installateur qui indiquait la désactivation des MAJ.

avatar mat16963 | 

@austinforest

Hmm vraiment bizarre ça 😬 En tout cas je l’ai installé sur 2 machines et il ne me semble pas avoir vu d’écran indiquant ça dans l’installateur: j’ai juste eu le panneau indiquant qu’un script sera exécuté pour vérifier l’installation du logiciel (chose qui, comme le dit l’article installe en fait directement Zoom, puis ferme l’installateur), et c’est tout.

avatar marc_os | 

@ austinforest
Curieux: J'ai installé Zoom pour le travail, bien plus performant que ce foutu Slack pour des réunions de travail regroupant au moins dix participants, et macOS continue à me proposer des mises à jour. D'ailleurs j'ai fait une màj de sécurité pas plus tard qu'hier...

avatar ys320 | 

Pour pouvoir mettre des fonds d’écran il faut un i7 comme processeur il n’y a pas une autre solution ?

avatar nespresso92 | 

@ys320

Skype permet aussi les fonds d’écran

avatar moitoutsimplement | 

@ys320

Non j’ai un MBP en i5 et je peux mette un fond virtuel.

Le i7 c’est pour avoir plus de 49 participants à l’écran

avatar Benoît42 | 

On peut parler de Discord aussi : sur iOS, impossible de l’utiliser sans lui donner accès à sa bibliothèque de photos.
Et WhatsApp, fonctionnement très dégradé si on ne lui donne pas accès à ses contacts.
Bref, y’en a pas un pour rattraper l’autre :)

avatar nespresso92 | 

@Benoît42

Skype fonctionne très bien. Je ne comprends pas pourquoi il est autant ignoré

avatar byte_order | 

Parce que Microsoft a clairement annoncé que l'avenir de Skype était Teams, peut être ?

avatar iftwst | 

@byte_order

Oui enfin le temps que Teams soit vraiment stable Skype est la.
Dans qq années ok ce sera Teams.

avatar nespresso92 | 

@byte_order

Skype Business fonctionne toujours et demain c'est demain et pas aujourd'hui. Et puis Skype personal ne sera pas remplacé par Team.

Bref, les 2 apps sont toujours proposées avec les abonnements perso, pro et E1, E2... donc pourquoi se prendre la tête avec Zoom aujourd’hui...

avatar KingAbas | 

Oui, tout à fait, a court terme, Skype for Business est remplacé par TEAMS et Skype reste pour le grand publique. Pour le plus long terme il faut demander a Mme Irma.

avatar malcolmZ07 | 

Pourtant c'était la même équipe qui venait pleurnicher lors de la polémique sur leur app...

avatar 7X | 

Je l'ai utilisé hier, mais depuis une session Invité. Pas de mot de passe Admin à donner, lancement très rapide, fonctions pratiques. Suis-je en danger ?
Pour du travail régulier, la session Invité est handicapante, même avec un 2ème ordi à côté pour travailler.

avatar Snakos | 

Zoom va corriger ça ?

avatar TheUMan | 

Et sur PC ? c'est comment ?
C'est peut-être simplement une incompétence à développer sur Mac ?
Si c'est volontaire c'est un autre problème.
Avec la RGPD ce comportement n'est-il pas illégal ? et ne tombe-t-il pas sous le coup de la loi ?

avatar bunam | 

À tester : https://screen.so/ ?
C'est un ancien co-foncdateur de screenhero qui a été racheté par slack, qui a remonté cette solution...

avatar huexley | 

Cet article c'est un peu du putaclic amha. Typiquement vous faites référence à un installeur qui demande le mot de passe administrateur, ce qui est somme toute monnaie courante, de plus les script preflight et postfilght sont plus que monnaie courante, que ce soit pour enrichir les dossiers utilisateurs de la licence par exemple et simplement nettoyer les fichiers d'installations. Enfin pour les grande entreprises utilisent souvent des système de MDM et la première chose qu'un adminstrateur de ce genre de plateforme fait c'est repackager les installeurs…

avatar Parr | 

J'ai testé jitsi.org. Je l'ai trouvé pas mal. Quelqu'un a-t-il un avis dessus ?

avatar bunam | 

une instance gratuite chez scaleway :

https://ensemble.scaleway.com

Pour le moment avec le client on utilise skype entreprise...

Pages

CONNEXION UTILISATEUR