Depuis que le coronavirus a commencé à se propager, nos petites caméras d'ordinateur et de téléphone sont devenues les fenêtres de notre isolement, scrutant la vie des autres, apercevant les animaux domestiques, les enfants et les conjoints en arrière-plan des appels vidéo. Je trouve ces moments profondément humains ; ils nous rappellent que nous ne sommes pas des machines de travail parfaites, mais simplement des personnes qui essaient de faire de leur mieux. Nos cheveux sont en désordre, nos visages mal cadrés et mal éclairés. Parfois, nous laissons le micro allumé lorsque nous allons aux toilettes.
À travers cette minuscule caméra, nous voyons l'arrière-plan ambiant de la vie : les gens qui travaillent dans la cuisine, la chambre à coucher ou la pièce d'appoint, les détritus de la vie entassés derrière eux. Un collègue, je l'ai appris par un appel vidéo, utilise une planche à repasser comme bureau. Un autre travaille depuis le canapé. Un autre collectionne les hérissons empaillés. Vous avez probablement eu des idées similaires au sujet de vos collègues. Il est fort probable que vous ayez appris beaucoup de ces choses grâce à Zoom.
Il y a encore quelques semaines, Zoom était à peine connu en dehors du monde de l'informatique d'entreprise. Mais maintenant, il est partout. Les écoles et les hôpitaux l'ont, avant d'être pris en charge par les soins intensifs, le premier ministre britannique s'est adressé au cabinet par son intermédiaire, même le groupe de ukulélé de ma mère l'utilise. Zoom a gagné plus de clients le mois dernier qu'au cours de l'année précédente.
C'est surprenant à bien des égards. Le marché de la vidéoconférence est saturé de grands noms. Pourtant, ces dernières semaines, Zoom est devenu synonyme de vidéoconférence.
"Qu'est-ce que c'est que cette magie noire ?"
Quand je demande aux gens pourquoi ils utilisent Zoom, j'entends toujours la même chose : c'est facile à mettre en place. Même les concurrents de Zoom le disent. Jim Mercer a travaillé à GoToMeeting quand il a essayé pour la première fois. "Un clic, nous étions connectés, et il y avait 25 flux de participants en même temps", dit-il. Nous nous sommes dit : "C'est quoi ce vaudou ?" Ses paroles trouvent un écho dans toute l'industrie. Jonathan Leitschuh, chercheur en sécurité, a été fasciné par le fonctionnement d'une "fonction de zoom étonnamment simple". "Quelle est cette magie noire ?" se demandait-il.
La réponse a permis à Zoom de prendre de l'importance dans la communauté de la sécurité en juillet dernier pour de mauvaises raisons. Si vous ne suivez pas les nouvelles sur les exploits de sécurité, vous pourriez penser que les experts pensaient que Zoom était sécurisé avant que la pandémie ne frappe. Mais ce n'est pas le cas. L'été dernier, M. Leitschuh a découvert que Zoom avait été installé en secret pour contourner les mécanismes de sécurité afin de pouvoir être lancé en moins de clics. Cette découverte a eu un coût. Il était tout aussi facile pour les pirates de déclencher des webcams et de surveiller secrètement les utilisateurs à leur insu. Pire encore, le bogue restait présent, même si l'utilisateur désinstallait Zoom. La sorcellerie de Zoom était un pacte avec le diable.
Zoom a gagné plus de clients au cours du dernier mois que l'année précédente.
Pour donner une idée de la gravité de ce problème de sécurité, en trois jours, Apple a déployé une mise à jour silencieuse sur tous les Mac supportés dans le monde pour supprimer le composant Zoom. Selon TechCrunch, Apple n'a jamais auparavant entrepris "d'action publique contre une application connue ou populaire" comme celle-ci.
Pourtant, Zoom a défendu sa décision. "Nos clients nous ont dit qu'ils avaient choisi Zoom pour notre expérience de communication vidéo sans friction", a écrit la société dans un article de blog. Même le responsable de la sécurité de l'information de Zoom a soutenu le contournement des mesures de sécurité : "Installer ce processus afin de permettre aux utilisateurs de se joindre à la réunion sans avoir à faire ces clics supplémentaires - nous pensons que c'était la bonne décision".
C'est la partie émergée de l'iceberg de Zoom. Arvind Narayanan, professeur d'informatique à Princeton, qualifie Zoom de "désastre pour la vie privée", rempli de fonctionnalités "effrayantes" qui envoient des données de suivi à Facebook même si vous n'avez pas de compte Facebook et qui indiquent aux organisateurs de réunions si les participants ne font pas attention. La politique de confidentialité de Zoom lui permet d'utiliser ce qu'il appelle du "contenu client" à des fins publicitaires. Mis en anglais normal : Zoom peut prendre la vidéo de vos appels privés et l'utiliser pour vendre des publicités. "Ce n'est probablement pas ce à quoi les gens s'attendent lorsqu'ils contactent un thérapeute, tiennent une réunion d'affaires ou ont un entretien d'embauche en utilisant Zoom", a déclaré Consumer Reports. Un chercheur de Harvard a publié quatre articles sur les questions de sécurité et de vie privée liées à Zoom. La liste complète des problèmes, des exploits, des oublis et des choix douteux que Zoom a faits se résume à des milliers de mots.
Les experts en sécurité comparent le comportement de Zoom à celui d'un virus. Lorsque vous utilisez l'application pour la première fois, elle s'installe avant que vous n'appuyiez sur le bouton d'installation. Comme un virus, elle est truffée d'erreurs grossières. Quand j'ai jeté un coup d'oeil au code, j'ai remarqué un processus appelé "zoomAutenticationTool". Ce n'est pas ma faute de frappe, mais une faute d'orthographe dans le code de la demande elle-même. Un autre message se lit, en anglais non correct : "Le système a besoin de votre privilège pour changer." Zoom est comme une attaque de phishing, conçue pour éliminer les crédules. Alors que nous nous abritons chez nous contre les virus, nous exposons nos ordinateurs à un autre virus.
Qui plus est, l'entreprise ne fait que mentir. Aujourd'hui encore, le site web affirme à plusieurs reprises que Zoom supporte le chiffrement de bout en bout. Il s'agit là d'une autre tromperie car, selon le professeur d'informatique Matthew Green, "la vidéoconférence de groupe est difficile à chiffrer de bout en bout". En général, il y a deux choix pour la vidéo de groupe : elle peut être chiffrée et cela peut très bien fonctionner. Alors comment Zoom parvient-il à faire les deux ? Tout simplement : il ne le fait pas. Son site web présente le chiffrement comme une fonctionnalité, son livre blanc sur la sécurité le mentionne, mais Zoom ne peut pas le faire, bien qu'ils aient promis d'essayer.
La réponse de la société s'engage parfois dans un débat wittgensteinien sur la nature même du langage. Lorsque nous utilisons l'expression "de bout en bout" dans nos autres publications, c'est en référence à la connexion chiffrée de bout en bout de Zoom", a déclaré un porte-parole à The Intercept. Mais ce n'est pas ce que tout le monde entend par chiffrement de bout en bout. Il est difficile de ne pas comparer Zoom avec Humpty Dumpty dans Alice Through the Looking Glass, qui donne sa propre définition de la gloire. Lorsqu'Alice le défie, il répond, comme Zoom, "Quand j'utilise un mot, il signifie exactement ce que je choisis de lui donner."
Le chiffrement de bout en bout de Zoom n'a rien de prestigieux.
En conséquence, Zoom est interdit par le ministère britannique de la défense, SpaceX, Apple, Google, la NASA et de nombreux districts scolaires, y compris les écoles publiques de la ville de New York. Le FBI a émis un avertissement concernant son utilisation, le procureur général de l'État de New York a lancé une enquête et le système a été poursuivi devant la Cour fédérale américaine.
Vous avez peut-être vu certains de ces faits dans les nouvelles. Les problèmes de Zoom sont maintenant dans les médias grand public : Le Guardian, la BBC, le New York Times et le Washington Post ont tous publié des articles sur les nombreux problèmes de Zoom.
Et pourtant.
Zoom continue de voir son utilisation augmenter. C'est facile. Son nom est reconnu. Ça " fonctionne tout simplement ".
Un tas de ressources empruntées
Personne ne s'attendait à ce que Zoom fasse bien son travail. Il y avait tellement de concurrence. Et pas n'importe quelle compétition : Microsoft, Google, Apple, Facebook, Cisco. Lorsque Zoom a été lancé, les investisseurs étaient sceptiques. "Il faudrait une exécution sans faille", a déclaré l'un d'entre eux. Même ceux qui ont investi étaient pessimistes. "Tout le monde dans le capital-risque pensait que c'était une idée terrible", a déclaré Jim Scheinman de Maven Ventures. "La plupart des investisseurs pensaient à tort que les produits existants comme Skype, Webex et d'autres permettaient de résoudre ce problème."
Zoom a été fondé par Eric Yuan, un ingénieur logiciel de la société de vidéoconférence Webex. En 2007, Cisco a acheté Webex et a promu Yuan à la tête de l'équipe d'ingénieurs. Mais, selon Forbes, au bout de trois ans, Yuan a pu constater qu'il y avait un problème avec Webex : "Le service n'était tout simplement pas très bon".
La vidéoconférence est difficile. Les utilisateurs doivent installer des logiciels compliqués, créer des comptes et cliquer sur des alertes pour accéder aux caméras et aux microphones. Elle doit prendre en charge une variété de dispositifs, tous dotés de capacités différentes, et les utilisateurs qui tentent de se connecter sur un réseau Wi-Fi faible et sans cesse défaillant. Trop de personnes en même temps au cours d'un appel mettent les connexions à rude épreuve. Les gens ne sont pas très doués pour les appels vidéo. Le moindre retard fait que les gens se parlent ou s'arrêtent de parler, créant des pauses gênantes. Lorsque cela devient trop frustrant, il est plus facile de décrocher le téléphone.
Yuan a quitté Cisco et a entrepris de créer une application de vidéoconférence dans le nuage qui résoudrait ces problèmes. Il a engagé une équipe de développement en Chine et a emmené avec lui 30 anciens collègues. Un cadre supérieur de Cisco a décrit Zoom à Forbes comme "un tas de ressources empruntées à Webex".
L'accent mis sur la facilité d'utilisation, au détriment de tout, y compris de la sécurité, a permis à Zoom de surmonter les obstacles. Et, contrairement à ses concurrents, Yuan avait une ardoise propre pour commencer. Les logiciels se périment rapidement et Cisco, Microsoft et d'autres avaient un problème que Yuan n'avait pas : le code existant. Yuan n'avait pas de vieux logiciels à entretenir, alors son énergie a été consacrée à la construction d'un nouveau produit utilisant les dernières technologies. Chez Cisco, Yuan avait prédit cela : "Un jour, quelqu'un va construire quelque chose sur le nuage, et ça va me tuer", avait-il dit à l'époque. Il s'est avéré qu'il était ce quelqu'un.
Le zoom est comme une attaque de phishing, conçue pour éliminer les crédules.
Il suffit de regarder les alternatives à Zoom. Google Hangouts n'est pas fiable, avec des fonctionnalités d'interface utilisateur étranges, résultat d'une gamme d'applications confuses et fragmentées : Google Buzz, Google Allo, Google Messages, Google Voice, etc. Apple a introduit le groupe de base FaceTime il y a à peine un an et il a été rapidement exploité par un adolescent. Et même après avoir corrigé la faille de sécurité, FaceTime est une exclusivité d'Apple. Cela le rend inutilisable si même une personne ne dispose pas d'un appareil Apple moderne. Skype a dépérit chez Microsoft. Les attentes ont augmenté au fil des ans et ils n'ont pas suivi le rythme, offrant une vidéo de moindre qualité et un service peu fiable. La vidéo de WhatsApp ne fonctionne pas sur les ordinateurs de bureau ou les iPads. Et même si vous regardez au-delà de ces problèmes, la plupart des produits ont des restrictions. Skype a une limite de 50 personnes. Google Hangouts n'autorise que 10 participants.
Si la concurrence semble rude, la plupart des produits s'excluent d'eux-mêmes avec un ou deux gros obstacles.
Votre administrateur a des mises à jour pour vous
Il y a autre chose que Zoom a en commun. De nombreux utilisateurs n'ont pas le choix. Si votre entreprise ou votre école commence à utiliser Zoom, ou si vous souhaitez participer à un événement public diffusé sur Zoom, vous pouvez soit vous inscrire par Zoom, soit vous ne pourrez pas vous joindre à la réunion.
Zoom a poursuivi les entreprises de manière agressive. "Notre plateforme a été construite principalement pour les entreprises", a écrit Zoom sur leur site web pour expliquer leurs lacunes. Mais, comme le souligne John Gruber, bien que cela soit vrai, c'est fallacieux : "Il est insensé [...] qu'un produit prétendument conçu pour l'entreprise ait une sécurité et une confidentialité médiocres". Il serait peut-être plus exact de dire que Zoom s'en est pris à tout prix aux clients des entreprises. Justifiant un point, le responsable de la sécurité de Zoom a déclaré : "c'était [à] la demande de certains de nos clients". Les clients de Zoom voulaient des fonctionnalités impossibles à mettre en œuvre sans piratage. Et pour décrocher les contrats, Zoom a piraté.
Une fois qu'un service informatique déploie Zoom sur ses ordinateurs et ses téléphones, les employés n'ont plus le choix. Si des réunions d'équipe obligatoires sont organisées sur Zoom, les employés doivent y participer. Interrogée sur Zoom, une source du gouvernement britannique a déclaré, dans une phrase que l'on peut imaginer apparaître sur le site web de Zoom "L'application a été rapidement mise en place entre les différents systèmes utilisés par les différents départements gouvernementaux." Zoom était facile à installer et, dans le climat actuel, le gouvernement avait besoin qu'il fonctionne plus qu'il n'avait besoin d'être sécurisé.
La source a ajouté qu'"avec le temps, un système plus cohérent devrait être mis en place", mais je vois déjà cela tomber au bas de la liste des tâches informatiques. Déployer la technologie à cette échelle est difficile, mais il est encore plus difficile de déployer la technologie. Une fois que les utilisateurs ont quelque chose qui fonctionne, il est difficile de passer à quelque chose qui ne donne aucune valeur ajoutée, surtout si cela nécessite plus de clics. Il est difficile de mettre fin aux contrats et, en cette période de durcissement international, qui veut vraiment payer plus cher pour continuer à faire ce qu'il faisait ?
Pourquoi ne pas utiliser Zoom ?
Bien que Zoom prétende être un produit d'entreprise, il fait la cour aux consommateurs depuis longtemps. Il comporte des niveaux gratuits et des fonctionnalités dont il est difficile de croire qu'elles ont été mises en place pour satisfaire les besoins des entreprises : écrans verts virtuels, fonction "Retouchez mon apparence" et intégration avec l'appareil photo Snap Camera qui vous permet de rejoindre une réunion comme si vous étiez une pomme de terre.
J'ai réfléchi à tout cela pendant un certain temps : Comment les gens choisissent-ils un nouveau logiciel ? Lorsque je choisis une application juste pour moi, je peux parcourir un magasin d'applications ou regarder les recommandations. Dans la mesure du possible, je veux une application à laquelle je peux faire confiance. La confiance est un concept un peu vague, mais dans ce contexte, il peut s'agir d'une application dont j'ai entendu parler. Nous sommes plus susceptibles d'utiliser Zoom, simplement parce que nous avons entendu d'autres personnes en parler, que d'utiliser, par exemple, Highfive ou Zoho Cliq. Même s'ils sont peut-être meilleurs.
Et la vidéoconférence, tout comme les applications de messagerie, nécessite une décision commune, ce qui est difficile, comme le sait toute personne ayant essayé de choisir un restaurant avec un groupe. La régression vers la moyenne s'installe et les gens se regroupent autour de l'option la moins offensante. C'est exactement pour cela que Zoom était en première position. Il était facile à utiliser, était familier au travail et disposait d'un accès gratuit. Et qui ne veut pas que ses rides soient lissées ?
Lors du lancement de Slack, Stuart Butterfield a évoqué la difficulté d'obtenir une adhésion. Chaque membre a un droit de veto, ce qui multiplie le risque de rejet du produit", a-t-il déclaré. "Si un ingénieur d'une startup essaie Slack et dit : "Je déteste ça. Je ne vais pas l'utiliser', c'est fini pour nous". Zoom en a profité puisqu'il est devenu le choix par défaut. Dans les milieux sociaux, les gens se contentent de ce qu'ils connaissent et d'une solution simple. Le groupe de ukulélé de ma mère, par exemple, ne va pas lancer un appel d'offres et procéder à un achat. Ils ne veulent même pas essayer différentes applications vidéo, ils en veulent juste une assez bonne pour pouvoir retourner à leur ukulélé.
Il est difficile de dire à tous ses amis : "En fait, je ne veux pas utiliser Zoom à cause de ses problèmes de sécurité". Il y a un risque de passer pour un théoricien du complot au chapeau de papier d'aluminium. Si vous vous opposez à Zoom, il vous incombe de trouver une alternative et, comme nous l'avons vu, les concurrents ont des problèmes. Il est beaucoup plus facile de se soumettre à la pression de ses pairs lorsque quelqu'un dit : "Allons-nous utiliser Zoom comme nous savons tous qu'il fonctionne ? La réalité est que la plupart des utilisateurs occasionnels ne rencontreront jamais de problèmes liés au manque de sécurité et de confidentialité de Zoom, et il devient donc difficile de s'occuper de ces questions dans la pratique.
Il est difficile de déployer la technologie à cette échelle, mais il est encore plus difficile de déployer la technologie.
Cochons dansants
Une des choses que je trouve étrange c'est que pour une application qui est célèbre pour sa facilité d'utilisation, Zoom en fait... n'est pas très facile à utiliser.
Yuan a critiqué Webex en disant qu'il "manquait de fonctionnalités modernes comme le partage d'écran pour les mobiles". Mais les instructions pour le partage d'écran sur l'application iOS de Zoom consistent en 13 étapes byzantines, incluant le changement des paramètres du centre de contrôle et des fonctions obscures que la plupart des utilisateurs ne connaîtront pas. De nombreux utilisateurs ne se rendront jamais compte qu'ils peuvent le faire.
Plus généralement, l'interface est confuse. Pour les nouveaux utilisateurs, il est facile de se retrouver dans une réunion avec tous les autres en attente dans une autre, en attendant que le chef les rejoigne. Les contrôles sont incohérents d'une plate-forme à l'autre et les paramètres par défaut de Zoom sont peu utiles. L'application web est désactivée, ce qui signifie que les utilisateurs doivent installer l'application plutôt que d'ouvrir leur navigateur. Malgré tout ce discours sur la simplicité, Zoom a fait des choix bizarres.
Mais, vous savez quoi ? C'est déjà bien. De nombreuses personnes qui utilisent Zoom aujourd'hui n'ont aucune expérience préalable de la vidéoconférence, n'ont donc rien à quoi la comparer et ne connaissent pas de solutions de rechange viables.
Comme le dit David Hansson, créateur de Ruby on Rails et fondateur de Basecamp, "Ce qui me fait mal, c'est que Zoom soit aussi sordide quand il s'agit de sécurité et de vie privée, et qu'il soit si inutile". D'une certaine manière, je comprends (même si je ne suis pas d'accord avec) leur décision de contourner les dispositifs de sécurité pour rendre l'application plus facile à installer, mais l'utilisation de la vidéo privée pour vendre des publicités est un objectif inutile.
Avec la diffusion récente de Zoom, l'entreprise est tombée dans le creux de la vague de désillusion. Les gens cherchent des alternatives et Zoom a publié des déclarations et a même proposé un webinaire (auquel il fallait utiliser Zoom pour participer), promettant de faire mieux la prochaine fois. Yuan a déclaré "un gel des fonctionnalités, en fait immédiatement, et a réorienté toutes nos ressources d'ingénierie pour se concentrer sur nos plus grands problèmes de confiance, de sécurité et de confidentialité".
D'une certaine manière, je suis désolé pour Yuan et son équipe (du moins, autant que je peux l'être pour un multimilliardaire dont le produit joue vite et bien avec la sécurité). "Eric Yuan a fondé Zoom en 2011 pour apporter le bonheur", peut-on lire sur son profil sur le site web de Zoom, et je ne peux pas dire si c'est de la chicane à la WeWork-style ou de la naïveté malicieuse. Yuan n'a pas demandé à ce que Zoom soit mis sous les feux de la rampe aussi brusquement. Le monde entier a tourné son attention sur son usine de saucisses logicielles, a pelé la peau et a repéré toute la viande de rat. Pendant des années, l'équipe de Yuan a eu des clients non techniques qui demandaient des fonctionnalités nécessitant de compromettre la sécurité et, alors qu'il leur incombait de repousser, l'argent était en jeu. Les mêmes médias qui critiquent aujourd'hui Zoom en font l'éloge depuis des années. Zoom "a transformé la frustration en une évaluation à 1 milliard de dollars", "a maîtrisé l'art de la croissance rentable" et a offert "des leçons de leadership en matière d'exécution et d'authenticité", a déclaré Forbes l'année dernière. Aujourd'hui, leurs journaux titres à la une : "La plupart des gens devraient éviter zoom qui est hors de contrôle".
À bien des égards, le plus inquiétant est de savoir combien d'autres entreprises se comportent de la même manière que Zoom, mais n'ont pas fait l'objet d'un tel examen public. Il ne s'agit pas de laisser Zoom s'en tirer à bon compte, mais l'ensemble du système que nous avons partage une partie de la responsabilité. Il est difficile de ne pas pointer du doigt le capitalisme, au moins un peu. Au moment où j'écris ces lignes, les actions de Zoom se négocient à deux fois le prix qu'elles avaient il y a un an. Les investisseurs ne tarissent pas d'éloges sur les entreprises qui font de l'argent et les consommateurs se précipitent vers ce qui est facile et bon marché. Est-ce surprenant que Zoom ait franchi la ligne ?
J'ai décidé que tout cela se résume à la danse des cochons. Bruce Schneier l'a décrit ainsi dans son livre Secrets et mensonges (2000) : "Si un utilisateur "clique sur un bouton qui promet des cochons dansants [...], et qu'il reçoit à la place un message d'avertissement décrivant les dangers potentiels de l'applet - il va choisir les cochons dansants plutôt que la sécurité informatique tous les jours".
Je me retrouve à utiliser Zoom, à participer à des dizaines d'appels et de conférences chaque semaine grâce à lui. Zoom offre quelque chose dont le monde a besoin. Et le monde en a suffisamment besoin pour que même les gouvernements se taisent et cliquent sur installer. La question est la suivante : une fois que ces temps "exceptionnels" seront à nouveau exceptionnels, les gens et les entreprises s'éloigneront-ils vers des "systèmes plus cohérents", ou l'attrait de l'étoile de la mort sera-t-il suffisant pour nous faire tous utiliser Zoom ?
source :
https://onezero.medium.com/zoom-is-a-nightmare-so-why-is-everyone-still-using-it-1b05a4efd5cc