Le client macOS de Zoom ne respecte toujours aucune bonne pratique

Nicolas Furno |

À l’heure du confinement, tous les services de visioconférence ont le vent en poupe, mais c’est clairement Zoom qui sort son épingle du jeu. Jusque-là surtout utilisé dans les entreprises, ce service a trouvé de nombreux adeptes chez les particuliers. Il faut dire qu’il a plusieurs avantages : il ne nécessite pas de compte, il est très simple à utiliser et il offre quelques fonctions amusantes, comme la possibilité de changer le fond derrière soi.

La webcam d’un ancien MacBook Pro (image gordon mei (CC BY-NC-ND 2.0))

Mais Zoom, c’est aussi cette app qui permettait d’activer la webcam d’un Mac à distance sans votre autorisation. Cette faille de sécurité a été rapidement corrigée dans la foulée, y compris par Apple depuis ses serveurs, mais l’app n’est pas un bon élève sur le Mac pour autant. Pour preuve, son installation ne respecte absolument aucune bonne pratique de macOS, puisque tout est fait à partir du script chargé en théorie de vérifier si une app peut être installée.

Pour installer le client macOS de Zoom, vous ne téléchargez pas directement une app, mais un fichier pkg qui va servir à installer les ressources nécessaires. C’est une pratique courante et parfaitement légitime, surtout pour les apps les plus complexes. Pour installer l’app, il faut alors ouvrir ce fichier et suivre les instructions. La première étape vérifie que vous pouvez effectuer l’installation, il s’agit en général essentiellement de comparer la version installée de macOS avec les versions compatibles avec l’app.

Cette étape repose sur un script qui devrait être assez simple, puisque l’installation des ressources est effectuée dans la suite du processus. Pas pour Zoom, qui a choisi de tout placer dans ce tout premier script de vérification. Long de 466 lignes, il effectue l’intégralité des opérations d’installation de toutes les ressources nécessaires et ferme la fenêtre d’installation de macOS dans la foulée. Cette pratique n’est pas mauvaise en soi, et d’ailleurs le script révèle que Zoom se contente d’installer l’app comme le ferait l’assistant dédié aux paquets de macOS.

Ce script est censé uniquement vérifier si Zoom peut être installé sur un Mac. Comme en témoigne sa longueur (plus de 460 lignes), il fait en vérité bien plus que cela, puisque c’est lui qui se charge de tout installer (image @cabel).

Le plus gênant, c’est que le processus se fait sans l’aval de l’utilisateur. En temps normal, une fois les vérifications effectuées, vous pouvez interrompre l’installation, jeter le fichier pkg et il ne se sera rien passé. Avec Zoom, c’est déjà trop tard, tout est installé sur votre Mac. Plus gênant, le script demande le mot de passe de la session et il pourrait faire absolument tout et n’importe quoi dans la foulée, ce qui est la porte ouverte pour des failles de sécurité. Au passage, une installation propre est possible avec quelques commandes dans le terminal.

Pour ne rien arranger, le script est bourré de fautes et l’ensemble ressemble plus au travail bâclé d’un amateur qu’à un outil professionnel. Le travail est fait malgré tout et ce n’est pas un problème en soi, mais comme le souligne le blogueur John Gruber, cela prouve à nouveau que Zoom n’a pas une attitude très sérieuse en matière de sécurité des données. Ce n’est pas une entreprise malveillante, mais ses apps ne sont pas développées avec le sérieux nécessaire pour un service si populaire et qui manipule des données aussi sensibles qu’un flux vidéo de votre domicile.

Si vous avez vraiment besoin de Zoom, John Gruber recommande ainsi soit de passer par la version web du service, soit d’utiliser la version iOS. Certes, celle-ci vient de faire la polémique parce qu’elle envoyait inutilement des données à Facebook, prouvant une fois de plus que la sécurité des données personnelles est vraiment prise à la légère par l’entreprise. Mais il y a au moins la validation de l’App Store et le processus d’installation imposé par Apple pour éviter les dérives.

avatar moitoutsimplement | 

Mince, et moi qui suit obligé de l’utiliser. J’organise des réunions d’un petit groupe où je fais du partage d’écran.
J’ai fait un courrier la semaine dernière à leur service privacy, j’attends toujours la réponse.

Via l’interface web, ça fonctionnerait tout aussi facilement ?

avatar nespresso92 | 

@moitoutsimplement

Via l’interface web il nécessaire d'installer une application mais chez moi cela n’a jamais fonctionné. Je n'utilise donc que la version iOS que je désinstalle dans la foulée.

avatar Osei Tutu | 

@nespresso92
‹‹quand même›› au lieu de ‹‹comme même››. Cordialement

avatar nespresso92 | 

@Osei Tutu

🥴

avatar iftwst | 

@moitoutsimplement

Pourquoi ne passes tu pas sur Skype ?
Je fais mes réunions avec.

avatar moitoutsimplement | 

@iftwst

La plupart des autre utilisateurs ont trouvé Skype mois stable. De mon côté je m’en rends moins compte en tant qu’organisateur.

Zoom à quand même l’avantage de pouvoir être utilisé sans être inscrit, et de pouvoir rejoindre une réunion avec simplement l’identifiant de réunion (et le mot de passe associé éventuellement).

avatar iftwst | 

@moitoutsimplement

Skype aussi avec Skype online.

Un mail et un lien que tu envoies à tes congé tes et hop ça marche.

avatar iftwst | 

@moitoutsimplement

A tes contacts pardon

avatar Biking Dutch Man | 

Zoom ne communique pas, n’écoute pas les demandes concernant les failles de sécurité à combler. À éviter à tout prix sur Mac OS en tout cas, un aspirateur à données.

avatar oomu | 

zoom est un infect programme, mais il est populaire en milieu professionnel. Je suppose l'inertie.

Tant pis, faut faire avec. Mais chaque fois que je peux, je pousse vers autre chose.

avatar ben67fr | 

Le problème, c’est qu’il est difficile de trouver autre chose pour faire classe en ayant une vingtaine d’élèves visibles en vidéo. Je ne cherche pas une appli type tableau blanc, mais uniquement de l’interaction vidéo en live.

avatar fornorst | 

@ben67fr

Google Meet fonctionne vraiment très bien pour ça je trouve :)

avatar ben67fr | 

@fornorst

Il me semble qu’il faut un compte pro donc payant pour 20 flux vidéo simultané ?

avatar fornorst | 

@ben67fr

C’est tout à fait vrai, je ne savais pas que tu avais ça comme contrainte, désolé
A noter cependant qu’il suffit d’une personne avec un compte pro ;)

avatar BLM | 

@fornorst
«Google Meet fonctionne vraiment très bien pour ça je trouve :)»
Oui, mais bon… éviter Zoom pour le remplacer par une solution Google, c’est "ouvrir une grosse voie d’eau" pour ne pas courir le risque d’être coulé par les gaulois.
;->

avatar fornorst | 

@BLM

J’aime beaucoup l’analogie 😂 mais plus sérieusement je ne pense pas qu’une web app Google avec tout le sérieux qu’ils ont en matière de sécurité des données (oui oui !) puisse être comparé à l’installation d’une app native avec les droits d’admin par un script visiblement bourré de fautes (je ne suis pas allé vérifier par moi même). Faut pas pousser non plus ;)

avatar Matlouf | 

J'ai un peu le même souci, on va essayer Framatalk puis WebEx. L'un est open source, l'autre vient de Cisco, que j'imagine mal refourguer mes données à Facebook ou Google.

avatar Sebc1997 | 

@Matlouf

Webex est top niveau fonctionnalité, intégration et support (on l’utilise depuis 1 an dans la boîte où je travaille, qui est un groupe international).
Depuis sa mise en place nous n’avons pas eu un seul incident

Le seul soucis c’est le prix des licences. C’est la meilleure solution du marché du conferencing, mais ça reste du Cisco donc assez cher ...

avatar Matlouf | 

Webex est gratuit pour un particulier, avec 100 participants.

avatar Oncle Melchior | 

@ben67fr

Il existe « maclassevirtuelle » du CNED

avatar iftwst | 

@ben67fr

Skype

avatar nykk | 

@ben76fr
J'ai peur que Zoom ne respecte pas le RGPD... Chez nous, les collègues utilisent Discord, Whatsapp, Snap, (qui sont utilisés par les élèves, mais ne respectent pas le RGPD) ou la classe virtuelle du CNED, mais elle a l'air de ramer pas mal. Il faudrait vraiment que le Ministère développe une application pour les futures continuités pédagogiques. Bon courage, collègue

avatar joey49 | 

Microsoft Teams fonctionne très bien aussi. Je diffuse mes cours depuis cette app.

avatar ben67fr | 

@joey49

Team me pose problème dans le sens ou c’est un client lourd à installer. Et je parle de faire la causette à une 20e d’enfants de 9 ans CM1/CM2. Je ne me vois pas leur demander, ni d’avoir un compte, ni d’installer un client lourd sur un poste qui souvent n’est pas le leur.

avatar nespresso92 | 

@ben67fr

L'absence de plateforme d'école numérique entraine l'usage de plateforme grand public comme Discord . Mais quid de l'impact sur la protection des données personnelles des élèves ? Et je ne parle pas du vol de données à l’apéro avec Houseparty !

Pages

CONNEXION UTILISATEUR