Les découvertes de problèmes de confidentialité concernant Zoom se multiplient alors que ce service de visioconférence connait un engouement énorme en ce moment. Dernier en date, des milliers de profils (adresses mail et photos de profil) sont partagés sans le consentement explicite des utilisateurs.

Zoom a connu une hausse considérable d'inscrits depuis le début des mesures de distanciation sociale. Entreprises et étudiants l'utilisent quotidiennement pour maintenir leurs activités. Le service a même enregistré une fréquentation record ce lundi, atteignant 4,84 millions d'utilisateurs aux États-Unis.

Pour faciliter les mises en relation entre les utilisateurs, Zoom « rapproche » automatiquement les salariés d'une même entreprise ou les étudiants d'une même école. Pour ce faire, Zoom associe tous les comptes dont les adresses email partagent le même nom de domaine (par exemple …@monentreprise.com), en excluant évidemment les géants Gmail, Outlook ou encore Yahoo.

Problème, ce système activé par défaut ratisse tout de même trop large. Des utilisateurs ont eu la mauvaise surprise de voir des centaines de personnes, voire plus, rejoindre automatiquement leur liste de contacts, alors qu'ils ne font pas partie de la même entreprise ou école, comme le rapporte Vice.

Par exemple, Zoom rapproche automatiquement les utilisateurs enregistrés avec des emails finissant par xs4all.nl, dds.nl, ou quicknet.nl. Il ne s'agit pas de noms de domaine appartenant à des entreprises individuelles, mais d'adresses fournies par des opérateurs télécoms néerlandais. C'est comme si vous vous inscriviez à Zoom avec votre email @orange.fr et que vous obteniez directement la liste des autres utilisateurs inscrits avec une adresse @orange.fr.

Zoom a déclaré à Vice exclure régulièrement des noms de domaine de son système de rapprochement et disposer d'un formulaire permettant aux entreprises de demander à figurer sur « liste rouge ».

Pour ne rien arranger, Zoom est en train de devenir le nouveau terrain de jeu des trolls. Des personnes mal intentionnées s'infiltrent dans les réunions et y diffusent des contenus non appropriés, comme de la pornographie par exemple.

Contacté par Forbes sur ce « Zoom-bombing », un porte-parole de Zoom invite les utilisateurs à modifier leurs paramètres pour plus de sécurité, mais également à maintenir « la protection par mot de passe activée par défaut.»

Le Zoom-bombing est causé par le partage de lien d'invitation aux réunions sur des sites publics. Il est très facile de trouver des liens d'accès à des réunions, sur Twitter par exemple, et s'y infiltrer si l'hôte n'a pas pris les mesures de sécurité nécessaires. Inquiets du nombre croissant de Zoom-bombing, le bureau du procureur général de l'État de New York a sommé le service de réguler la situation au plus vite.

Zoom a récemment été épinglé pour d'autres pratiques douteuses en matière de confidentialité et de sécurité.