Le client macOS de Zoom ne respecte toujours aucune bonne pratique

Nicolas Furno |

À l’heure du confinement, tous les services de visioconférence ont le vent en poupe, mais c’est clairement Zoom qui sort son épingle du jeu. Jusque-là surtout utilisé dans les entreprises, ce service a trouvé de nombreux adeptes chez les particuliers. Il faut dire qu’il a plusieurs avantages : il ne nécessite pas de compte, il est très simple à utiliser et il offre quelques fonctions amusantes, comme la possibilité de changer le fond derrière soi.

La webcam d’un ancien MacBook Pro (image gordon mei (CC BY-NC-ND 2.0))

Mais Zoom, c’est aussi cette app qui permettait d’activer la webcam d’un Mac à distance sans votre autorisation. Cette faille de sécurité a été rapidement corrigée dans la foulée, y compris par Apple depuis ses serveurs, mais l’app n’est pas un bon élève sur le Mac pour autant. Pour preuve, son installation ne respecte absolument aucune bonne pratique de macOS, puisque tout est fait à partir du script chargé en théorie de vérifier si une app peut être installée.

Pour installer le client macOS de Zoom, vous ne téléchargez pas directement une app, mais un fichier pkg qui va servir à installer les ressources nécessaires. C’est une pratique courante et parfaitement légitime, surtout pour les apps les plus complexes. Pour installer l’app, il faut alors ouvrir ce fichier et suivre les instructions. La première étape vérifie que vous pouvez effectuer l’installation, il s’agit en général essentiellement de comparer la version installée de macOS avec les versions compatibles avec l’app.

Cette étape repose sur un script qui devrait être assez simple, puisque l’installation des ressources est effectuée dans la suite du processus. Pas pour Zoom, qui a choisi de tout placer dans ce tout premier script de vérification. Long de 466 lignes, il effectue l’intégralité des opérations d’installation de toutes les ressources nécessaires et ferme la fenêtre d’installation de macOS dans la foulée. Cette pratique n’est pas mauvaise en soi, et d’ailleurs le script révèle que Zoom se contente d’installer l’app comme le ferait l’assistant dédié aux paquets de macOS.

Ce script est censé uniquement vérifier si Zoom peut être installé sur un Mac. Comme en témoigne sa longueur (plus de 460 lignes), il fait en vérité bien plus que cela, puisque c’est lui qui se charge de tout installer (image @cabel).

Le plus gênant, c’est que le processus se fait sans l’aval de l’utilisateur. En temps normal, une fois les vérifications effectuées, vous pouvez interrompre l’installation, jeter le fichier pkg et il ne se sera rien passé. Avec Zoom, c’est déjà trop tard, tout est installé sur votre Mac. Plus gênant, le script demande le mot de passe de la session et il pourrait faire absolument tout et n’importe quoi dans la foulée, ce qui est la porte ouverte pour des failles de sécurité. Au passage, une installation propre est possible avec quelques commandes dans le terminal.

Pour ne rien arranger, le script est bourré de fautes et l’ensemble ressemble plus au travail bâclé d’un amateur qu’à un outil professionnel. Le travail est fait malgré tout et ce n’est pas un problème en soi, mais comme le souligne le blogueur John Gruber, cela prouve à nouveau que Zoom n’a pas une attitude très sérieuse en matière de sécurité des données. Ce n’est pas une entreprise malveillante, mais ses apps ne sont pas développées avec le sérieux nécessaire pour un service si populaire et qui manipule des données aussi sensibles qu’un flux vidéo de votre domicile.

Si vous avez vraiment besoin de Zoom, John Gruber recommande ainsi soit de passer par la version web du service, soit d’utiliser la version iOS. Certes, celle-ci vient de faire la polémique parce qu’elle envoyait inutilement des données à Facebook, prouvant une fois de plus que la sécurité des données personnelles est vraiment prise à la légère par l’entreprise. Mais il y a au moins la validation de l’App Store et le processus d’installation imposé par Apple pour éviter les dérives.

avatar webHAL1 | 

C'est tout bonnement un scandale ! Comment se fait-il qu'un logiciel gratuit, qui permet de manière très efficace de faire des vidéo-conférences de qualité avec des utilisateurs se servant d'une grande variété de plate-formes différentes, qui est ergonomique et rapide, et qui offre tout un tas de fonctionnalités sympathiques, ne suive pas PARFAITEMENT les bonnes pratiques du monde Apple ?!
Vivement que quelqu'un lance une pétition en ligne pour exiger que Zoom dédommage ses utilisateurs à coups de millions de dollars !

avatar marc_os | 

@ webHAL1
C'est vrai qu'affirmer que Zoom « ne respecte toujours aucune bonne pratique » c'est totalement exagéré quand un seul aspect est abordé, à savoir la manière dont est fabriquée le paquet d'installation.

avatar iPop | 

Et avec Catalys, c’était pas plus simple de porter la version iPad ?

avatar octopoulpe | 

si on désinstalle l'app, plus aucun risque pour les données ?

avatar iftwst | 

@octopoulpe

J’adore ton pseudo !

avatar quetzal | 

Et GoToMeeting ? Quelqu'un sait si c'est encrypté ?

avatar Doctomac | 

« recommande ainsi soit de passer par la version web du service, »

Bien chez moi, ça ne marche pas, j’ai dû installer l’app avec toutes les problématiques que vous avez mentionnées.

Pages

CONNEXION UTILISATEUR