Discussion :

[Bill Fassinou]

Zoom prévoit d'offrir à tous ses utilisateurs gratuits et payants E2EE, un chiffrement de bout en bout pour les appels vidéo,
une version d'essai commence en juillet

Zoom prévoit d'offrir à tous ses utilisateurs gratuit et payant un chiffrement de bout en bout pour les appels vidéo. Le projet de conception d'E2EE, le chiffrement de bout en bout de Zoom en question, a été publié le 22 mai dernier. Zoom annonce avoir collaboré avec des organisations des libertés civiles, des groupes de défense de la sécurité des enfants, des experts en chiffrement, des représentants du gouvernement et ses propres utilisateurs pour mettre en oeuvre E2EE.

Zoom annonce que la version bêta de la fonctionnalité E2EE commence en juillet 2020. Tous les utilisateurs de Zoom continueront d'utiliser le cryptage de transport AES 256 GCM comme cryptage par défaut, E2EE sera une fonctionnalité facultative, car elle limite certaines fonctionnalités de réunion, telles que la possibilité d'inclure des lignes téléphoniques PSTN traditionnelles ou des systèmes de salle de conférence matérielle SIP / H.323. Les administrateurs de compte peuvent activer et désactiver E2EE au niveau du compte et du groupe.

La société, dont l'activité a explosé avec les mesures de distanciation contre le covid-19, forçant davantage de personnes à travailler à domicile, s'est transformée en un lieu de rencontre vidéo mondial à partir d'un outil de téléconférence orienté entreprise. Cependant, elle a également été critiquée pour des problèmes de confidentialité et de sécurité, et a fait l'objet de critiques pour avoir omis de divulguer que son service n'était pas entièrement crypté de bout en bout.

En effet, début avril, des chercheurs ont donné des détails sur deux bogues de sécurité découverts dans l'application Zoom. Le client Windows de Zoom perdait ses informations d'identification réseau, car l'application rendait les chemins d'accès aux fichiers UNC cliquables dans les fenêtres de discussion de groupe. Un rapport de The Intercept a également critiqué les pratiques de confidentialité de l’application de vidéoconférence pour avoir prétendument trompé les utilisateurs sur le chiffrement de bout en bout de la plateforme. Mais Zoom avait fini par admettre que l'E2EE n'était pas encore possible pour les réunions vidéo de Zoom et utilise plutôt le chiffrement TLS (Transport Layer Security).

Après une série de défaillances de sécurité, certaines institutions ont interdit l'utilisation de Zoom, la société basée en Californie a embauché en avril l'ancien directeur de la sécurité de Facebook Inc Alex Stamos et a déployé des mises à niveau majeures. Alex Stamos, ex-chef de la sécurité chez Facebook, avait publié plusieurs tweets, demandant notamment à Zoom d’être plus transparent et de lancer un plan de sécurité qui va durer 30 jours. Il a ensuite été contacté par Eric Yuan, le fondateur de Zoom, pour devenir consultant externe. « Je suis heureux de vous dire que je vais aider Zoom à mettre en place son programme de sécurité », a alors annoncé Stamos.

Hier, dans un billet de blog, le PDG de Zoom, Eric S. Yuan,a annoncé que Zoom a publié E2EE sur GitHub. « Nous sommes également heureux de partager que nous avons identifié une voie à suivre qui équilibre le droit légitime de tous les utilisateurs à la confidentialité et à la sécurité des utilisateurs sur notre plateforme. Cela nous permettra d'offrir E2EE en tant que fonctionnalité complémentaire avancée pour tous nos utilisateurs du monde entier - gratuits et payants - tout en conservant la capacité de prévenir et de combattre les abus sur notre plateforme », a-t-il ajouté.

Pour rendre cela possible, les utilisateurs Free / Basic cherchant à accéder à E2EE participeront à un processus unique qui invitera l'utilisateur à fournir des informations supplémentaires, telles que la vérification d'un numéro de téléphone via un message texte.

Source : Zoom

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Eric Yuan, le PDG et fondateur de Zoom, a gagné près de 4 milliards de dollars en l'espace de trois mois suite à l'explosion de l'utilisation de sa plateforme en pleine pandémie de coronavirus

Zoom divulguerait les adresses mail et photos des utilisateurs et permettrait aussi à certains utilisateurs de lancer un appel vidéo avec des inconnus

Certaines clés de chiffrement de Zoom sont transmises aux participants d'une réunion via des serveurs en Chine selon les chercheurs, Zoom l'admet et s'explique

Zoom met à jour son logiciel pour améliorer la protection par mots de passe des vidéoconférences et pour sécuriser les enregistrements sur le cloud

[Stéphane le calme]

Zoom annonce qu'il va proposer le chiffrement de bout en bout sous forme de Technical Preview la semaine prochaine,
pour les clients de la version gratuite et payante

Zoom a été l’un des grands bénéficiaires de cette pandémie : le service de visioconférence a vu son pic d’utilisation exploser au point de franchir la barre des 300 millions journaliers d’utilisateurs. Le revers de la médaille a été une attention particulière portée à l’application, notamment par des experts en sécurité. C’est dans ce contexte que des bogues ont été découverts, mais aussi le fait que les réunions Zoom ne supportaient pas le chiffrement de bout en bout.

Dans le livre blanc de Zoom, il existe une liste de « fonctionnalités de sécurité avant la réunion » disponibles pour l'hôte de la réunion qui commence par « Activer une réunion chiffrée de bout en bout (E2E) ». Plus loin dans le livre blanc, il est fait mention de « Sécuriser une réunion avec le chiffrement E2E » comme étant une « capacité de sécurité en réunion » disponible pour les hôtes de réunion. Lorsqu'un hôte démarre une réunion avec le paramètre « Exiger le chiffrement pour les points de terminaison tiers » activé, les participants voient un cadenas vert qui dit, « Zoom utilise une connexion chiffrée de bout en bout » lorsqu'ils passent la souris dessus.

Mais lorsque l’entreprise a été contactée pour savoir si les réunions vidéo sont réellement chiffrées de bout en bout, un porte-parole de Zoom a écrit : « Actuellement, il n'est pas possible d'activer le chiffrement E2E pour les réunions vidéo Zoom. Les réunions vidéo Zoom utilisent une combinaison de TCP et UDP. Les connexions TCP sont établies à l'aide de TLS et les connexions UDP sont chiffrées avec AES à l'aide d'une clé négociée sur une connexion TLS ».

Face à la réaction que cela a provoqué, l’entreprise a décidé de travailler sur ces points de sécurité. L’entreprise a d’abord rappelé que son offre était destinée principalement aux entreprises ; elle n’avait donc pas anticipé la popularité soudaine au sein des utilisateurs personnels.

Elle a proposé dans un premier temps une mise à jour de son application, Zoom 5.0. Cette dernière version s’est accompagnée de mesures de sécurité améliorées qui comprennent un chiffrement plus puissant, des mots de passe par défaut et une nouvelle icône pour un accès facile aux importants paramètres de sécurité. Ce service faisait appel à la norme de chiffrement AES 256 bits GCM. Bien qu’il ne s'agissait toujours pas d'un chiffrement de bout en bout, il venait rendre les réunions beaucoup plus sûres.

Puis Zoom a annoncé avoir fait l’acquisition de Keybase, dont l’équipe va apporter son expertise pour aider Zoom à construire un chiffrement de bout en bout pour ses vidéoconférences « qui pourront atteindre l'évolutivité actuelle de Zoom ».

Le chiffrement de bout en bout est déployé progressivement

Par le biais de Max Krohn, Head of Security Engineering chez Zoom, l'entreprise a annoncé déployer cette offre :

« Nous sommes ravis d'annoncer qu'à partir de la semaine prochaine, l'offre de chiffrement de bout en bout (E2EE) de Zoom sera disponible sous forme de technical preview, ce qui signifie que nous sollicitons de manière proactive les commentaires des utilisateurs pendant les 30 premiers jours. Les utilisateurs de Zoom - gratuits et payants - du monde entier peuvent accueillir jusqu'à 200 participants à une réunion E2EE sur Zoom, offrant une confidentialité et une sécurité accrues pour vos sessions Zoom.

« Nous avons annoncé en mai notre intention de créer une option de réunion chiffrée de bout en bout sur notre plateforme, en plus du chiffrement déjà puissant et des fonctionnalités de sécurité avancées de Zoom. Nous sommes heureux de déployer la première phase sur les quatre de notre offre E2EE, qui fournit des protections robustes pour aider à empêcher l'interception des clés de déchiffrement qui pourraient être utilisées pour surveiller le contenu des réunions. »

Il a précisé que le chiffrement de bout en bout de Zoom « utilise le même chiffrement GCM puissant que vous obtenez actuellement dans une réunion Zoom. La seule différence réside dans l'emplacement de ces clés de chiffrement ».

Dans les réunions classiques, le cloud de Zoom génère des clés de chiffrement et les distribue aux participants à la réunion à l'aide des applications Zoom lorsqu'ils se joignent. Avec l'E2EE de Zoom, l'hôte de la réunion génère des clés de chiffrement et utilise la cryptographie à clé publique pour distribuer ces clés aux autres participants à la réunion. Les serveurs de Zoom deviennent des relais inconscients et ne voient jamais les clés de chiffrement nécessaires pour déchiffrer le contenu de la réunion.

« Le chiffrement de bout en bout est un autre pas en avant pour faire de Zoom la plateforme de communication la plus sécurisée au monde », a déclaré Eric S. Yuan, PDG de Zoom. « Cette phase de notre offre E2EE offre la même sécurité que les plateformes de messagerie chiffrées de bout en bout existantes, mais avec la qualité vidéo et l'évolutivité qui ont fait de Zoom la solution de communication de choix pour des centaines de millions de personnes et les plus grandes entreprises du monde. »

Dans une foire à questions, l'éditeur a tenté d'apporter le plus d'éclaircissements possible aux utilisateurs. Par exemple :

• Comment Zoom fournit-il un chiffrement de bout en bout ? L’offre E2EE de Zoom utilise la cryptographie à clé publique. En bref, les clés de chaque réunion Zoom sont générées par les machines des participants, et non par les serveurs de Zoom. Les données chiffrées relayées via les serveurs de Zoom sont indéchiffrables par Zoom, car les serveurs de Zoom ne disposent pas de la clé de déchiffrement nécessaire. Cette stratégie de gestion des clés est similaire à celle utilisée par la plupart des plateformes de messagerie chiffrées de bout en bout aujourd'hui.
• Comment activer E2EE ? Les hôtes peuvent activer le paramètre E2EE au niveau du compte, du groupe et de l'utilisateur et peuvent être verrouillés au niveau du compte ou du groupe. Tous les participants doivent avoir le paramètre activé pour rejoindre une réunion E2EE. Dans la phase 1, tous les participants à la réunion doivent se joindre à partir du client de bureau Zoom, de l'application mobile ou des salons Zoom Room.
• Ai-je accès à toutes les fonctionnalités d'une réunion Zoom régulière ? Pas tout de suite. L'activation de cette version d'E2EE de Zoom dans vos réunions désactive certaines fonctionnalités, notamment rejoindre la réunion avant l'hôte, l'enregistrement dans le cloud, le streaming, la transcription en direct, les Breakout Rooms, les sondages, le chat privé 1:1 et les réactions aux réunions.
• Les utilisateurs gratuits de Zoom ont-ils accès au chiffrement de bout en bout ? Oui. Les comptes Zoom gratuits et payants qui se joignent à partir du client de bureau ou de l'application mobile de Zoom, ou d'une Zoom Room, peuvent héberger ou rejoindre une réunion E2EE.
• En quoi est-ce différent du chiffrement GCM amélioré de Zoom ? Les réunions et webinaires Zoom utilisent par défaut le chiffrement GCM AES 256 bits pour le partage audio, vidéo et d'application (c'est-à-dire le partage d'écran, le tableau blanc) en transit entre les applications Zoom, les clients et les connecteurs. Dans une réunion sans E2EE activé, le contenu audio et vidéo circulant entre les applications Zoom des utilisateurs n'est pas déchiffré tant qu'il n'a pas atteint les appareils des destinataires. Cependant, les clés de chiffrement de chaque réunion sont générées et gérées par les serveurs de Zoom. Lors d'une réunion avec E2EE activé, personne, à l'exception de chaque participant, pas même les serveurs de Zoom, n'a accès aux clés de chiffrement utilisées pour chiffrer la réunion.
• Comment vérifier que ma réunion utilise le chiffrement de bout en bout ? Les participants peuvent rechercher un logo de bouclier vert dans le coin supérieur gauche de leur écran de réunion avec un cadenas au milieu pour indiquer que leur réunion utilise E2EE. Il ressemble à notre symbole de chiffrement GCM, mais la coche est remplacée par un verrou.
  
  
  
  
  Les participants verront également le code de sécurité du responsable de la réunion qu’ils peuvent utiliser pour vérifier la connexion sécurisée. L'hôte peut lire ce code à haute voix et tous les participants peuvent vérifier que leurs clients affichent le même code.
  
  
  

Source : Zoom

Voir aussi :

Zoom publie ses résultats trimestriels. Son chiffre d'affaires passe de 145 à 663 millions de dollars et le nombre d'entreprises de plus de 10 employés clientes de Zoom a été multiplié par cinq
Microsoft et Zoom rejoignent le mouvement de suspension du traitement des demandes de données provenant de Hong Kong, comme l'ont fait d'autres entreprises technologiques
Zoom cède à la censure en Chine, et travaille sur une nouvelle fonctionnalité, qui aidera Pékin à cibler les utilisateurs chinois

[Bill Fassinou]

Zoom aurait menti aux utilisateurs sur le chiffrement de bout en bout pendant des années,
selon une plainte de la FTC

Zoom, le service de visioconférence qui a vu sa cote de popularité explosée avec la pandémie du Covid-19, fait face à de nouvelles allégations en matière de sécurité. Dans une plainte ce 9 novembre, la FTC (Federal Trade Commission) a accusé la société d'avoir trompé les utilisateurs sur le niveau de sécurité de la plateforme de réunion Zoom et a également injustement sapé une fonction de sécurité du navigateur Safari d'Apple. Zoom avait annoncé mi-octobre qu'il allait commencer à proposer le chiffrement de bout en bout sous forme de Technical Preview.

Zoom est l’un des grands bénéficiaires de cette pandémie : il a connu une hausse de son utilisation, en passant de 10 millions en décembre 2019 à 300 millions d'utilisateurs actifs par jour en avril 2020. Le revers de la médaille a été une attention particulière portée à l’application, notamment par les experts en sécurité et les régulateurs, dont la FTC. Ainsi, dès le mois de mars 2020, des bogues ont été relevés dans l'application et il a aussi été découvert que les réunions Zoom ne supportaient pas le chiffrement de bout en bout, ce qui donne la possibilité à l'entreprise d'espionner les réunions vidéo privées.

Zoom maintient les utilisateurs dans une marre de mensonge depuis 2016

« Depuis au moins 2016, Zoom a induit les utilisateurs en erreur en prétendant qu'il offrait "un chiffrement de bout en bout à 256 bits" pour sécuriser les communications des utilisateurs, alors qu'en fait il offrait un niveau de sécurité inférieur », a déclaré lundi la FTC dans l'annonce de sa plainte contre Zoom et de l'accord de principe. « Zoom a, en réalité, conservé les clés de chiffrement qui pouvaient lui permettre d'accéder au contenu des réunions de ses clients, et a sécurisé ses réunions Zoom, en partie, avec un niveau de cryptage inférieur à celui promis », a ajouté le régulateur.

Selon la plainte de la FTC, l'entreprise s'est jouée des utilisateurs de sa plateforme, pourtant importante pour leurs activités, alors qu'elle avait la possibilité et les moyens techniques pour mettre en place une sécurité à l'épreuve des espions. En outre, la FTC estime que les affirmations trompeuses de Zoom ont donné aux utilisateurs un faux sentiment de sécurité, en particulier pour ceux qui ont utilisé la plateforme de l'entreprise pour discuter de sujets sensibles, tels que la santé et les informations financières, pour ne citer que ceux-là.

Par exemple, Zoom a affirmé offrir un chiffrement de bout en bout dans ses guides de conformité à la HIPAA (Health Insurance Portability and Accountability Act) de juin 2016 et juillet 2017, qui étaient destinés aux utilisateurs du service de vidéoconférence dans le secteur de la santé. Dans de nombreux articles de blogue, Zoom a spécifiquement fait valoir son niveau de chiffrement comme une raison pour les clients et les clients potentiels d'utiliser les services de vidéoconférence de Zoom. Cela dit, dans tous les cas, il s'agit de déclarations trompeuses.

La plainte souligne aussi que Zoom a affirmé qu'il offrait un chiffrement de bout en bout dans un livre blanc de janvier 2019, dans un article de blog d'avril 2017 et dans des réponses directes aux demandes de clients et de clients potentiels. Toujours selon la plainte de la FTC, Zoom a également induit en erreur certains utilisateurs qui voulaient stocker des réunions enregistrées sur le stockage en ligne de l'entreprise en prétendant à tort que ces réunions étaient chiffrées immédiatement après la fin de la réunion.

Cependant, au lieu de cela, certains enregistrements auraient été stockés de façon non chiffrée pendant 60 jours sur les serveurs de Zoom avant d'être transférés sur son stockage en ligne sécurisé. Pour régler ces allégations, Zoom a accepté l'obligation d'établir et de mettre en œuvre un programme de sécurité complet, l'interdiction de toute fausse déclaration sur la vie privée et la sécurité, et d'autres mesures détaillées et spécifiques pour protéger sa base d'utilisateurs. Par exemple, Zoom doit :

• évaluer et documenter annuellement tout risque potentiel de sécurité interne et externe et développer des moyens de protection contre de tels risques ;
• mettre en œuvre un programme de gestion des vulnérabilités ;
• déployer des mesures de protection telles que l'authentification à plusieurs facteurs pour se prémunir contre l'accès non autorisé à son réseau ;
• instituer des contrôles de suppression des données ;
• prendre des mesures pour empêcher l'utilisation d'identifiants d'utilisateur connus comme étant compromis.

En outre, le personnel de Zoom devra examiner toute mise à jour du logiciel pour détecter les failles de sécurité et s'assurer que les mises à jour n'entraveront pas les fonctions de sécurité de tiers. Par ailleurs, la résolution n'a pas de volet financier, mais le régulateur a déclaré que Zoom serait confrontée à des amendes pouvant aller jusqu'à 43 280 dollars pour chaque violation future de l'accord. En outre, l'action de la société, qui a fortement augmenté cette année, a chuté de plus de 13 % ce lundi en raison de la plainte de la FTC, pour atteindre 433 dollars.

La plainte et le règlement de la FTC couvrent également le déploiement controversé par Zoom du serveur Web ZoomOpener qui a contourné les protocoles de sécurité d'Apple sur les ordinateurs Mac. « Le serveur Web ZoomOpener a permis à Zoom de se lancer automatiquement et de joindre un utilisateur à une réunion en contournant la protection du navigateur Safari d'Apple qui protégeait les utilisateurs contre un type de logiciel malveillant courant », a déclaré la FTC. En effet, Zoom a "secrètement installé" le logiciel dans le cadre d'une mise à jour de Zoom pour Mac en juillet 2018.

Lorsqu'il a été découvert en juillet 2019, Apple a immédiatement publié une mise à jour pour supprimer le serveur des ordinateurs des victimes. « Sans le serveur ZoomOpener Web, le navigateur Safari aurait fourni aux utilisateurs une boîte d'avertissement, avant le lancement de l'application Zoom, qui demandait aux utilisateurs s'ils voulaient lancer l'application ». Selon le régulateur, le logiciel augmentait le risque de surveillance vidéo à distance par des étrangers et restait sur les ordinateurs des utilisateurs même après qu'ils ont supprimé l'application Zoom.

Une autre manœuvre que la FTC trouve plus inquiétante est le fait que le serveur Web ZoomOpener réinstallait automatiquement l'application Zoom, sans aucune action de l'utilisateur, dans certaines circonstances.

Les termes de l'accord avec Zoom divisent les représentants de la FTC

L'accord est soutenu par la majorité républicaine de la FTC (3 voix contre 2), mais les démocrates de la commission se sont opposés parce que l'accord ne prévoit pas de compensation pour les utilisateurs. « Aujourd'hui, la FTC a voté pour proposer un règlement avec Zoom qui suit une formule malheureuse de la FTC », a déclaré le commissaire démocrate de la FTC, Rohit Chopra. « L'accord ne prévoit aucune aide pour les utilisateurs concernés. Il ne fait rien pour les petites entreprises qui se sont appuyées sur les revendications de Zoom en matière de protection des données. Et il n'oblige pas Zoom à payer un centime. La Commission doit changer de cap ».

En effet, l'accord n'oblige pas Zoom à offrir des réparations, des remboursements, ni même d'avertir ses clients que les affirmations matérielles concernant la sécurité de ses services étaient fausses. « Cet échec de l'accord proposé ne rend pas service aux clients de Zoom et limite considérablement la valeur dissuasive de l'affaire. Bien que le règlement impose des obligations de sécurité, il n'inclut aucune exigence qui protège directement la vie privée des utilisateurs », a déclaré la commissaire démocrate Rebecca Kelly Slaughter.

De même, les termes de l'accord n'ordonnent pas clairement à Zoom de mettre en place un chiffrement de bout en bout pour les réunions sur sa plateforme. Toutefois, rappelons-le, Zoom a annoncé le mois dernier qu'il déployait un chiffrement de bout en bout dans un aperçu technique afin de recueillir les réactions des utilisateurs. Enfin, la proposition de règlement est soumise aux commentaires du public pendant 30 jours, après quoi la FTC votera pour la rendre définitive ou non. La période de consultation de 30 jours commencera dès que le règlement sera publié dans le registre fédéral.

L'entreprise devra également faire évaluer son programme de sécurité par des tiers une fois que le règlement sera finalisé et, par la suite, tous les deux ans. Zoom est soumis à cette obligation pendant les vingt prochaines années.

Sources : FTC, Plainte de la FTC (PDF)

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi

Les réunions sur Zoom ne supportent pas le chiffrement de bout en bout, Zoom a donc la capacité technique d'espionner les réunions vidéo privées

Zoom annonce qu'il va proposer le chiffrement de bout en bout sous forme de Technical Preview la semaine prochaine pour les clients de la version gratuite et payante

Zoom publie ses résultats trimestriels. Son chiffre d'affaires passe de 145 à 663 millions de dollars et le nombre d'entreprises de plus de 10 employés clientes de Zoom a été multiplié par cinq

[Invité]

Petit rappel de bon sens : le chiffrement de bout en bout sert uniquement à protéger les éditeurs d'éventuelles poursuites judiciaires au cas où leur logiciel serait utilisé à mauvais escient. Ils peuvent ainsi prétendre ne pas savoir ce qui se tramait sur leur plateforme. On l'a vu avec Encrochat, il est techniquement et légalement possible d'intercepter les discussions qui transitent sur ces messageries en cas de besoin.

[defZero]

Petit rappel de bon sens : le chiffrement de bout en bout sert uniquement à protéger les éditeurs d'éventuelles poursuites judiciaires au cas où leur logiciel serait utilisé à mauvais escient.
Ils peuvent ainsi prétendre ne pas savoir ce qui se tramait sur leur plateforme.
On l'a vu avec Encrochat, il est techniquement et légalement possible d'intercepter les discussions qui transitent sur ces messageries en cas de besoin.

@Jeff_67

Sauf que le chiffrement de bout en bout "bien implémenté", devrait justement rendre impossible toute interception par un tiers puisqu'elle doit être faite en P2P entre les intervenants de la communication sans passer par un serveur centrale.
Le seule moyen de "percer" le chiffrement serait d'avoir la main sur l'un des intervenants de la communication qui doit bien détenir les clés de déchiffrements pour consulter les messages en clair.
Donc que ce soit techniquement ou légalement, c'est juste impossible de d’exiger d'un tiers d'intercepter les communications, puis qu’à la base il n'a aucun moyen d'y accéder en clair, si implémenté dans les règles sans portes dérobés et sans algo de cryptage troués.

[Invité]

Sauf que le chiffrement de bout en bout "bien implémenté", devrait justement rendre impossible toute interception par un tiers puisqu'elle doit être faite en P2P entre les intervenants de la communication sans passer par un serveur centrale.
Le seule moyen de "percer" le chiffrement serait d'avoir la main sur l'un des intervenants de la communication qui doit bien détenir les clés de déchiffrements pour consulter les messages en clair.
Donc que ce soit techniquement ou légalement, c'est juste impossible de d’exiger d'un tiers d'intercepter les communications, puis qu’à la base il n'a aucun moyen d'y accéder en clair, si implémenté dans les règles sans portes dérobés et sans algo de cryptage troués.

En l’occurence, dans l’affaire Encrochat, la gendarmerie a eu légalement accès aux serveurs situés en France grâce à une commission rogatoire pour diffuser un malware et trouer la sécurité des terminaux à l’insu des usagers. Aux USA, c’est encore mieux, le Patriot Act peut contraindre les entreprises à trouer la sécurité de leurs logiciels avec interdiction de le dévoiler publiquement.

[Steinvikel]

Sauf que le chiffrement de bout en bout "bien implémenté", devrait justement rendre impossible toute interception par un tiers puisqu'elle doit être faite en P2P entre les intervenants de la communication sans passer par un serveur centrale.
Le seule moyen de "percer" le chiffrement serait d'avoir la main sur l'un des intervenants de la communication qui doit bien détenir les clés de déchiffrements pour consulter les messages en clair.
Donc que ce soit techniquement ou légalement, c'est juste impossible de d’exiger d'un tiers d'intercepter les communications, puis qu’à la base il n'a aucun moyen d'y accéder en clair, si implémenté dans les règles sans portes dérobés et sans algo de cryptage troués.

En fait pas exactement. Le chiffrement est dit de bout en bout, mais puisque les 2 paires de clés publique/privé sont délivrées par l'éditeur, et utilisées par son outil, le tout à travers son infrastructure (service centralisé), au final ce n'est de bout en bout que jusqu'à ce qu'il décide d'utiliser les clés pour analyser la communication coté serveur avant de la router au destinataire... le trou de sécurité tient simplement du fait que le serveur qui route les paquets a connaissance des clés utilisées pour chiffrer comme pour déchiffrer.
C'est pareil pour les mail chiffrés de Google... ou n'importe quel mise en oeuvre de chiffrement qui s'appuie sur un service centralisé qui est en charge de générer lui-même les clés de chiffrement des 2 acteurs de la communication. Tout acteur vous prônant le contraire ne fait qu'émettre des promesses.

Si on veut vraiment de la sécurité, on génère soi-même sa paire publique/privée, on se l'échange par un moyen détourné (pitié, pas en clair par mail), puis on utilise une solution de communication fiable (ProtonMail, Thunderbird, Jami (Ring), Mumble... du logiciel libre ou des acteurs étiques)

[Stéphane le calme]

Zoom accepte de payer 85 millions de dollars pour avoir menti sur le chiffrement de son application
et envoyé des données à Facebook et Google à l'insu des utilisateurs

Zoom est l’un des grands bénéficiaires de cette pandémie : il a connu une hausse de son utilisation, en passant de 10 millions en décembre 2019 à 300 millions d'utilisateurs actifs par jour en avril 2020. Le revers de la médaille a été une attention particulière portée à l’application, notamment par les experts en sécurité et les régulateurs, dont la FTC. Ainsi, dès le mois de mars 2020, des bogues ont été relevés dans l'application et il a aussi été découvert que les réunions Zoom ne supportaient pas le chiffrement de bout en bout, ce qui donne la possibilité à l'entreprise d'espionner les réunions vidéo privées.

« Depuis au moins 2016, Zoom a induit les utilisateurs en erreur en prétendant qu'il offrait "un chiffrement de bout en bout à 256 bits" pour sécuriser les communications des utilisateurs, alors qu'en fait il offrait un niveau de sécurité inférieur », a déclaré en novembre 2020 la FTC dans l'annonce de sa plainte contre Zoom et de l'accord de principe. « Zoom a, en réalité, conservé les clés de chiffrement qui pouvaient lui permettre d'accéder au contenu des réunions de ses clients, et a sécurisé ses réunions Zoom, en partie, avec un niveau de cryptage inférieur à celui promis », a ajouté le régulateur.

Selon la plainte de la FTC, l'entreprise s'est jouée des utilisateurs de sa plateforme, pourtant importante pour leurs activités, alors qu'elle avait la possibilité et les moyens techniques pour mettre en place une sécurité théoriquement à l'épreuve des espions. En outre, la FTC estime que les affirmations trompeuses de Zoom ont donné aux utilisateurs un faux sentiment de sécurité, en particulier pour ceux qui ont utilisé la plateforme de l'entreprise pour discuter de sujets sensibles, tels que la santé et les informations financières, pour ne citer que ceux-là.

Par exemple, Zoom a affirmé offrir un chiffrement de bout en bout dans ses guides de conformité à la HIPAA (Health Insurance Portability and Accountability Act) de juin 2016 et juillet 2017, qui étaient destinés aux utilisateurs du service de vidéoconférence dans le secteur de la santé. Dans de nombreux articles de blogue, Zoom a spécifiquement fait valoir son niveau de chiffrement comme une raison pour les clients et les clients potentiels d'utiliser les services de vidéoconférence de Zoom. Cela dit, dans tous les cas, il s'agit de déclarations trompeuses.

La plainte souligne aussi que Zoom a affirmé qu'il offrait un chiffrement de bout en bout dans un livre blanc de janvier 2019, dans un article de blog d'avril 2017 et dans des réponses directes aux demandes de clients et de clients potentiels. Toujours selon la plainte de la FTC, Zoom a également induit en erreur certains utilisateurs qui voulaient stocker des réunions enregistrées sur le stockage en ligne de l'entreprise en prétendant à tort que ces réunions étaient chiffrées immédiatement après la fin de la réunion.

Cependant, au lieu de cela, certains enregistrements auraient été stockés de façon non chiffrée pendant 60 jours sur les serveurs de Zoom avant d'être transférés sur son stockage en ligne sécurisé. Pour régler ces allégations, Zoom a accepté l'obligation d'établir et de mettre en œuvre un programme de sécurité complet, l'interdiction de toute fausse déclaration sur la vie privée et la sécurité, et d'autres mesures détaillées et spécifiques pour protéger sa base d'utilisateurs.

En outre, le personnel de Zoom devra examiner toute mise à jour du logiciel pour détecter les failles de sécurité et s'assurer que les mises à jour n'entraveront pas les fonctions de sécurité de tiers. Par ailleurs, la résolution n'a pas de volet financier, mais le régulateur a déclaré que Zoom serait confrontée à des amendes pouvant aller jusqu'à 43 280 dollars pour chaque violation future de l'accord.

La plainte et le règlement de la FTC couvrent également le déploiement controversé par Zoom du serveur Web ZoomOpener qui a contourné les protocoles de sécurité d'Apple sur les ordinateurs Mac. « Le serveur Web ZoomOpener a permis à Zoom de se lancer automatiquement et de joindre un utilisateur à une réunion en contournant la protection du navigateur Safari d'Apple qui protégeait les utilisateurs contre un type de logiciel malveillant courant », a déclaré la FTC. En effet, Zoom a « secrètement installé » le logiciel dans le cadre d'une mise à jour de Zoom pour Mac en juillet 2018.

Zoom accepte de payer 85 millions de dollars pour mettre fin à un recours collectif

Zoom a accepté de payer 85 millions de dollars pour régler les allégations selon lesquelles il aurait menti sur le fait d'offrir un chiffrement de bout en bout et aurait communiqué les données des utilisateurs à Facebook et Google sans le consentement des utilisateurs. Le règlement entre Zoom et les déposants d'un recours collectif couvre également les problèmes de sécurité qui ont conduit à des Zoombombings endémiques.

Le règlement proposé donnerait généralement aux utilisateurs de Zoom 15 $ ou 25 $ chacun et a été déposé samedi devant le tribunal de district américain du district nord de Californie. Cela s'est produit neuf mois après que Zoom a accepté des améliorations de la sécurité et une « interdiction des fausses déclarations en matière de confidentialité et de sécurité » dans un règlement avec la Federal Trade Commission, mais le règlement de la FTC n'incluait pas de compensation pour les utilisateurs.

Le nouveau règlement de recours collectif s'applique aux utilisateurs de Zoom à l'échelle nationale des USA, qu'ils aient utilisé Zoom gratuitement ou payé pour un compte. Si le règlement est approuvé par le tribunal, « les membres du groupe qui ont payé pour un compte seront éligibles pour recevoir 15 % de l'argent qu'ils ont payé à Zoom pour leur abonnement de base aux réunions Zoom pendant cette période [du 30 mars 2016 au 30 juillet. 2021] ou 25 $, selon le montant le plus élevé », indique le règlement. « Les membres du groupe qui ne sont pas admissibles à soumettre une réclamation d'abonnement payé peuvent faire une réclamation de 15 $. Ces montants peuvent être ajustés, au prorata, à la hausse ou à la baisse, selon le volume de la réclamation, le montant des frais et dépenses, les paiements de service aux représentants de classe, les taxes et frais fiscaux, et les frais d'administration du règlement.

Les avocats du groupe obtiendraient des honoraires allant jusqu'à 25 pour cent des 85 millions de dollars et jusqu'à 200 000 $ pour le remboursement des dépenses. Environ une douzaine de plaignants nommés demandent l'approbation de paiements de 5 000 $ chacun. Une audience sur la requête des plaignants pour l'approbation préliminaire du règlement est prévue pour le 21 octobre 2021.

En plus des paiements, Zoom « a accepté plus d'une douzaine de changements majeurs à ses pratiques, conçus pour améliorer la sécurité des réunions, renforcer les divulgations de confidentialité et protéger les données des consommateurs », indique le règlement.

La pandémie augmentant son activité de visioconférence, Zoom a plus que quadruplé son chiffre d'affaires annuel, passant de 622,7 millions de dollars à 2,7 milliards de dollars au cours des 12 mois se terminant le 31 janvier 2021. Zoom a également déclaré un bénéfice net de 672 millions de dollars pour la période de 12 mois, contre 25,3 millions de dollars l'année dernière. Zoom est sur la bonne voie pour obtenir des résultats encore meilleurs cette année, avec un chiffre d'affaires du premier trimestre (février-avril) de 956,2 millions de dollars et un bénéfice net de 227,5 millions de dollars.

Zoom ne peut pas redéfinir ce qu'est le chiffrement de bout en bout

Une plainte de recours collectif modifiée déposée en mai 2021 indiquait que, malgré les fausses promesses de chiffrement de bout en bout (E2E) de Zoom, « les clés de chiffrement de chaque réunion sont générées par les serveurs de Zoom, et non par les appareils clients ».

Elle se poursuit ainsi :

« La connexion entre l'application Zoom exécutée sur l'ordinateur ou le téléphone d'un utilisateur et le serveur de Zoom est chiffrée de la même manière que la connexion entre un navigateur Web et un site Web est chiffrée. C'est ce qu'on appelle le chiffrement de transport, qui est différent du chiffrement de bout en bout, car le service Zoom lui-même peut accéder au contenu vidéo et audio non chiffré des réunions Zoom. Lors d'une réunion Zoom utilisant cette technologie de chiffrement, le contenu vidéo et audio restera privé de toute personne espionnant le Wi-Fi, mais ne restera pas privé de l'entreprise ou, vraisemblablement, de toute personne avec qui l'entreprise partage volontairement son accès, par contrainte de la loi (par exemple, à la demande des forces de l'ordre), ou involontairement (par exemple, un pirate informatique qui peut infiltrer les systèmes de l'entreprise). Avec un véritable chiffrement E2E, les clés de chiffrement sont générées par les appareils des utilisateurs (clients) et seuls les participants à la réunion ont la possibilité de les déchiffrer ».

Le site Web de Zoom a affirmé que son service permet à un hôte « sécuriser une réunion avec un chiffrement de bout en bout » et que « la solution et l'architecture de sécurité de Zoom fournissent un chiffrement de bout en bout et des contrôles d'accès aux réunions afin que les données en transit ne puissent pas être interceptées », selon la plainte. Mais Zoom n'a pas droit à sa propre définition du chiffrement de bout en bout, a déclaré le recours collectif. « La définition du chiffrement de bout en bout n'est pas à interpréter dans l'industrie », a déclaré la plainte. « Les fausses déclarations de Zoom contrastent fortement avec d'autres services de visioconférence, tels que FaceTime d'Apple, qui ont entrepris la tâche la plus difficile de mettre en œuvre un véritable chiffrement E2E pour un appel à plusieurs parties ».

Partage des données utilisateurs et Zoombombings

Les utilisateurs de Zoom se sont appuyés sur les promesses de l'entreprise selon lesquelles « Zoom ne vend pas les données des utilisateurs » et que « Zoom prend la confidentialité au sérieux et protège adéquatement les informations personnelles des utilisateurs », a déclaré la plainte. Les membres du groupe ne comprenaient pas que « Zoom recueillerait et partagerait [leurs] renseignements personnels avec des tiers, y compris Facebook et Google » et « autoriserait des tiers, comme Facebook et Google, à accéder à [leurs] renseignements personnels et à les combiner avec du contenu et des informations provenant d'autres sources pour créer un identifiant ou un profil unique de [chaque utilisateur] à des fins publicitaires et influençant le comportement », peut-on lire par la suite.

Étant donné que Zoom a implémenté le SDK Facebook, les données de l'utilisateur ont été envoyées par Zoom à Facebook « que l'utilisateur ait créé un compte Zoom ou Facebook, et, pire encore, avant même que l'utilisateur n'ait accédé à la rubrique termes et conditions de Zoom ou toute rubrique concernant la confidentialité », a déclaré la plainte. Bien que Zoom aurait depuis « supprimé le SDK Facebook, Zoom continue de partager des données utilisateur tout aussi précieuses avec Google via le SDK Firebase Analytics de Google, également intégré à l'application Zoom. Les plaignants n'ont jamais accordé l'autorisation à des tiers d'extraire et d'utiliser ces données – en effet, ils n'étaient même pas au courant de la transmission des données ». Outre Facebook et Google, Zoom « envoie des données personnelles sur leurs utilisateurs à hotjar, Zendesk, AdRoll, Bing et autres ».

La plainte a également déclaré que Zoom a blâmé les utilisateurs pour une éruption de Zoombombings même si le problème a été activé par les lacunes de sécurité de Zoom. Zoom pourrait avoir des interruptions de réunion limitées par des participants non autorisés avec « des solutions techniques relativement simples... par exemple, permettant aux hôtes d'annuler plus facilement une réunion et/ou d'éjecter un Zoombomber en appuyant sur un seul bouton, des paramètres de contrôle de partage d'écran par défaut, ou mettre en œuvre des protocoles plus stricts de sécurité des réunions (admission des participants) tels que la vérification de l'identité ou des codes d'accès uniques pour les réunions », a déclaré la plainte.

« Dès le 20 mars 2020, Zoom a admis que son produit avait un problème avec Zoombombing. Plutôt que de modifier les protocoles de sécurité et les fonctionnalités par défaut, Zoom a tourné le dos à ses utilisateurs, affirmant qu'ils étaient à blâmer pour leur incapacité à utiliser correctement le programme », a déclaré la plainte.

Exigences du règlement

Pour régler cette affaire, la plainte « exige que Zoom ne réintègre pas le SDK Facebook pour iOS dans les réunions Zoom pendant un an » et demande à Facebook de « supprimer toutes les données d'utilisateur américain obtenues à partir du SDK ». Les changements de sécurité et de transparence que Zoom a acceptés incluent les éléments suivants :

• Développer et maintenir, pendant au moins trois ans, des protocoles et des procédures documentés pour l'admission d'applications tierces à diffuser aux utilisateurs via le « Marketplace » de Zoom.
• Développer et maintenir un système de ticket d'assistance aux utilisateurs pour le suivi interne et la communication avec les utilisateurs au sujet des rapports d'interruption de réunion.
• Développer et maintenir un processus documenté de communication avec les forces de l'ordre au sujet des perturbations de réunion impliquant un contenu illégal, y compris du personnel dédié pour signaler les perturbations de réunions en série aux forces de l'ordre.
• Développer et maintenir des fonctionnalités de sécurité telles que des salles d'attente pour les participants, le bouton de suspension des activités de réunion et le blocage des utilisateurs de pays spécifiques pendant au moins trois ans.

Zoom devra « mieux informer les utilisateurs sur les fonctionnalités de sécurité disponibles pour protéger la sécurité et la confidentialité des réunions, via un espace dédié sur le site Web de Zoom et des notifications de type bannière ». Le site Web de Zoom devra également inclure « des informations centralisées et des liens pour les parents dont les enfants utilisent des comptes K-12 fournis par l'école ».

Après l'annonce du règlement, Zoom a donné aux médias une déclaration qui n'admettait aucun acte répréhensible : « La confidentialité et la sécurité de nos utilisateurs sont des priorités absolues pour Zoom, et nous prenons au sérieux la confiance que nos utilisateurs nous accordent », a déclaré Zoom. « Nous sommes fiers des progrès que nous avons réalisés sur notre plateforme et sommes impatients de continuer à innover en mettant la confidentialité et la sécurité au premier plan ».

Source : plaintes (1, 2)

Et vous ?

Quels outils avez-vous utilisés entre 2020 et 2021 pour vos activités en téléconférence ?
Que pensez-vous de Zoom ?
Quelle lecture faites-vous de ce règlement ?

Voir aussi :

UCaaS : Le taux de croissance des services de communications électroniques cloud augmente, passant de 27 % en 2019 à 41 % en 2020, Microsoft et Zoom ajoutent chacun un million d'abonnés
Les bénéfices de Zoom ont augmenté de 4 000 % pendant la pandémie, mais la société n'a pas payé d'impôt sur le revenu, selon un rapport de l'Institute On Taxation and Economic Policy
Le DOJ accuse un employé de Zoom d'avoir aidé la Chine à fermer des réunions Zoom aux USA et ailleurs, sur une foule de sujets religieux et politiques qui dérangeaient le Parti Communiste
Larry Ellison, le PDG d'Oracle, quitte la Silicon Valley pour Hawaï et déclare qu'il utilisera Zoom dans le cadre du télétravail, le siège social de l'entreprise sera par contre déplacé au Texas

[Arb01s]

Si on veut vraiment de la sécurité, on génère soi-même sa paire publique/privée, on se l'échange par un moyen détourné (pitié, pas en clair par mail), puis on utilise une solution de communication fiable (ProtonMail, Thunderbird, Jami (Ring), Mumble... du logiciel libre ou des acteurs étiques)

L'avantage justement du chiffrement asymétrique et des clés publiques et privées est que l'on peut s’échanger nos clés PUBLIQUES par un medium non chiffré, car c'est justement une clé publique. A contrario, la clef privée ne doit jamais être communiquée à personne, même à nos interlocuteurs de confiance.

[p@radox]

L'avantage justement du chiffrement asymétrique et des clés publiques et privées est que l'on peut s’échanger nos clés PUBLIQUES par un medium non chiffré, car c'est justement une clé publique. A contrario, la clef privée ne doit jamais être communiquée à personne, même à nos interlocuteurs de confiance.

oui et ajouterais que " une solution de communication fiable " n'est justement PAS l'email que ce soit proton ou gmail !

[NicoTips]

Pour information, la NSA diffusé en novembre 2020 un comparatif de 17 solutions collaboratives, le problème de Zoom y est mentionné dans la table en page 5:
https://media.defense.gov/2020/Aug/1...L_20200814.PDF
On y découvre que peu de solutions proposent l'encryptage end-to-end.

[gerard093]

J'ai été convié à deux réunions avec zoom, l'une dans le cadre de la présentation de formation à distance pendant le covid, la seconde pour le conseil en gestion personnelle. Ces deux réunions utilisaient zoom.

Après des difficultés de connexion, la conversation est devenue hachée. Puis mon poste a subi une attaque avec perte de contrôle clavier et souris. On peut donc suspecter une attaque par deni de service.

Dans chaque cas, ma participation aux réunions s'est soldée par un échec. Je suis utilisateur de firefox.

Pour l'instant zoom est la seule plate forme à m'avoir déçu.

Bon. En partant d'en bas, on ne peut que s'améliorer ...

[Mathis Lucas]

Zoom exige que ses employés se rendent au bureau au moins deux jours par semaine. La révolution du télétravail est-elle morte ?
L'entreprise annonce qu'elle s'oriente vers une approche hybride

Zoom, dont le logiciel de visioconférence a permis de lancer la plus grande expérience au monde de travail à domicile pendant la pandémie de la Covid-19, vient de demander à ses employés de retourner au bureau. Les responsables de Zoom ont demandé à tous les employés situés à moins de 80 km d'un bureau de l'entreprise de s'y rendre au moins deux jours par semaine selon un horaire hybride. Zoom, qui avait annoncé autrefois que le travail à domicile deviendrait la norme et qu'il s'imposerait à toutes les entreprises, a déclaré qu'une "approche hybride structurée" serait une solution plus efficace pour l'entreprise. La révolution du télétravail semble avoir pris fin.

« Nous pensons qu'une approche hybride structurée, c'est-à-dire que les employés vivant près d'un bureau doivent être sur place deux jours par semaine pour interagir avec leurs équipes, est la plus efficace pour Zoom. En tant qu'entreprise, nous sommes mieux placés pour utiliser nos propres technologies, continuer à innover et soutenir nos clients internationaux », a déclaré un porte-parole de l'entreprise dans un communiqué. Zoom est la dernière entreprise technologique à citer le besoin de collaboration en personne pour demander un certain temps de travail au bureau. Les dirigeants de Meta, Salesforce et Google ont avancé les mêmes arguments.

En discutant des avantages du travail à distance par rapport au travail en personne, ces derniers estiment que le fait de travailler dans un bureau renforce la confiance, encourage la création de nouvelles idées et aide à former les nouveaux employés. Mais, dans le cas de Zoom, le plus grand fournisseur de logiciels de visioconférence dans le monde, l'annonce a suscité des préoccupations quant à l'avenir du télétravail. L'entreprise a été l'exemple type du travail à distance et a peut-être bénéficié plus que toute autre entreprise de la possibilité de travailler à domicile pendant la pandémie de la Covid-19, mais même Zoom n'a pas réussi à en faire une norme.

Les outils de collaboration et de communication ont été l'épine dorsale du travail à distance induit par la pandémie de la Covid-19 et la mesure de distanciation sociale. Dès les premiers jours de la crise de la Covid-19, les entreprises ont fait travailler leurs employés à domicile et les écoles ont lancé les enfants dans l'apprentissage en ligne. Zoom est alors rapidement devenu l'application de référence pour les entreprises, les écoles, les familles et les amis pour se réunir virtuellement. Sur une courte période débutant en 2020, l'entreprise a connu une croissance explosive. En avril 2020, Zoom a annoncé avoir passé le cap des 300 millions d’utilisateurs par jour.

Au cours du premier trimestre fiscal touché par la pandémie, les revenus de Zoom ont augmenté de 169 % sur une base annualisée ; le trimestre suivant, ce chiffre était de 355 %. Et 81 % de ces revenus provenaient de l'abonnement de nouveaux clients (et d'un faible taux de désabonnement). En février de cette année, Zoom a publié des résultats supérieurs aux prévisions pour l'exercice fiscal qui s'est terminé en janvier 2023. L'adoption de Zoom One (une offre de services groupés) a continué à s'accélérer et a contribué à augmenter le chiffre d'affaires. Le système Zoom Phone basé sur le cloud a augmenté de plus de 100 % d'une année sur l'autre.

Il a dépassé les 5,5 millions de postes totaux au quatrième trimestre de l'exercice. Pourtant, les analystes de Wall Street ont exprimé des inquiétudes quant à l'activité grand public de Zoom et à la concurrence d'offres telles que Microsoft Teams. Tout d'abord, le climat macroéconomique a réduit la trajectoire de croissance de Zoom et d'autres services de collaboration. De nombreuses entreprises ont ramené des travailleurs au bureau au moment même où les règles de distanciation sociale ont été assouplies. Ces tendances, ainsi que la possibilité d'une récession, ont fortement contribué au ralentissement de la croissance de Zoom et d'autres services.

Aujourd'hui, Microsoft s'impose dans le domaine de la collaboration à distance grâce à Teams. Microsoft Teams s'intègre parfaitement à Outlook et à la suite d'outils Office365, ce qui en fait le choix le plus logique parmi les outils de vidéoconférence pour les utilisateurs d'Outlook et d'Office. En outre, Teams propose également des sessions de réunion gratuites plus longues, ainsi qu'une liste croissante d'autres fonctionnalités. Parallèlement, la plateforme de visioconférence Webex de Cisco est en train de détrôner certains utilisateurs de Zoom grâce à une interface plus conviviale, des temps de réunion gratuits plus longs et des tarifs plus souples.

L'environnement économique a en outre conduit les entreprises à examiner de plus près les coûts, tandis que les licenciements ont probablement entraîné une baisse des abonnements. Le mois dernier, Zoom a annoncé son intention de licencier 15 % de ses effectifs, soit environ 1 300 personnes. En réponse aux erreurs commises dans le recrutement excessif, le PDG de Zoom, Eric Yuan, a pris ses responsabilités en réduisant son propre salaire de 98 % et en renonçant aux primes. Dans un courriel adressé aux employés, il a déclaré : « je veux faire preuve de responsabilité, non seulement en paroles, mais aussi dans mes propres actions ».

Le marché a réagi positivement aux licenciements de l'entreprise, les actions de Zoom augmentant d'environ 10 %. Zoom a déclaré un chiffre d'affaires de 1,1 milliard de dollars pour le trimestre se terminant le 30 avril, soit une hausse de 3 % par rapport à la même période de l'année précédente. Cela dit, le bénéfice net a fortement chuté, passant de 113,6 millions de dollars l'année précédente à 15,4 millions de dollars. L'entreprise s'oriente désormais vers les ventes aux entreprises, alors que la croissance des ventes aux utilisateurs individuels stagne. L'annonce de Zoom confirme que l'entreprise mise désormais sur le travail hybride.

Par exemple, Zoom Spots, lancé à la fin de l'année dernière, vise à améliorer l'expérience du travail hybride en permettant aux travailleurs hybrides et à distance de se réunir autour d'une fontaine d'eau. Malgré la multiplication des ordres de retour au bureau, les données de la société Kastle Systems, qui suit l'évolution de l'accès par carte magnétique dans les principales zones métropolitaines, le taux d'occupation des bureaux reste de l'ordre de 50 %. De nombreux travailleurs ont résisté à l'appel à retourner au bureau, soit en protestant, soit en démissionnant. Selon les analystes, les bureaux vides représentent un casse-tête pour les entreprises.

« Je continue de penser que tous ces ordres de retour au bureau sont le fait d'investisseurs qui ont fait d'importants investissements dans l'immobilier commercial et qui essaient d'empêcher la bulle d'éclater comme elle devrait le faire. Il y a trop d'espaces de bureaux vacants en ce moment et personne ne baisse les prix comme cela devrait être le cas avec un tel surplus », lit-on dans les commentaires. Même le gouvernement fédéral américain commence à faire revenir les travailleurs au bureau. Le chef de cabinet de la Maison-Blanche, Jeff Zients, a écrit aux membres du cabinet que le travail en personne est essentiel au bien-être des équipes.

Toutefois, de récents sondages indiquent que certains travailleurs sont favorables au travail hybride. Selon un récent sondage Gallup, deux travailleurs sur dix estiment avoir un "meilleur ami" au travail. Robert Waldinger, professeur de psychiatrie à la Harvard Medical School, note que les personnes qui ont des amis proches au travail "sont beaucoup moins susceptibles de quitter leur emploi pour un autre parce qu'ils ont un ami au travail". Selon certains analystes de Wall Street, l'accent mis par Zoom sur la facilitation des connexions au sein d'une organisation montre que l'entreprise est attentive à l'évolution des besoins des travailleurs.

Selon eux, Zoom doit s'adapter aux réalités de l'économie et de la main-d'œuvre au cours de sa réinitialisation interne, en se concentrant sur les stratégies de prix et les nouveaux produits tout en évitant les concurrents. Bien que Zoom soit un leader grâce à sa technologie et à ses capacités, son prix est également plus élevé que celui de certains concurrents.

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la demande de Zoom à ses employés ?
Pensez-vous que la grande expérience mondiale du télétravail touche à sa fin ?
Le travail à distance tend-il à redevenir une option réservée à quelques privilégiés ?
Selon vous, pourquoi de plus en plus d'entreprises rappellent-elles leurs employés au bureau ?

Voir aussi

Zoom met à jour son logiciel pour améliorer la protection par mots de passe des vidéoconférences et pour sécuriser les enregistrements sur le cloud

Un ancien hacker de la NSA découvre une faille dans Zoom permettant de prendre le contrôle des Mac, notamment la webcam, le micro et l'accès root, Elon Musk interdit à ses employés de l'utiliser

Le retour de flamme du retour au bureau : les entreprises qui mettent fin aux avantages du télétravail perdraient les meilleurs talents, selon certains professionnels

Les employeurs ressentent davantage les conséquences néfastes des politiques de retour obligatoire au bureau, selon plusieurs rapports

[Leruas]

La blague... ils vivent grâce au télétravail mais ça va être interdit chez eux

[Patrick Ruiz]

Le PDG de Zoom demande à ses employés de retourner au bureau, car cela permet l’atteinte de leur maximum en capacité d’innovation
Et une meilleure connaissance les uns des autres

Zoom, dont le logiciel de visioconférence a permis de lancer la plus grande expérience au monde de travail à domicile pendant la pandémie de la Covid-19, demande à ses employés de retourner au bureau. Motif : cela permet l’atteinte de leur maximum en capacité d’innovation et une meilleure connaissance les uns des autres. C’est une sortie en phase avec celle d’autres dirigeants comme Tim Cook selon lesquels « les employés doivent retourner au bureau, car cela stimule la créativité. » Le tableau ravive le débat sur la comparaison de la productivité et de la créativité des employés au bureau et ceux en télétravail. Dans quelle formule êtes-vous le plus productif et créatif : télétravail ou bureau ?

L’on ne saurait penser à l’avènement du télétravail sans faire mention de Zoom. Ironie du sort : l’entreprise privilégie désormais le travail hybride au détriment du travail à distance : « Nous pensons qu'une approche hybride structurée, c'est-à-dire que les employés vivant près d'un bureau doivent être sur place deux jours par semaine pour interagir avec leurs équipes, est la plus efficace pour Zoom. En tant qu'entreprise, nous sommes mieux placés pour utiliser nos propres technologies, continuer à innover et soutenir nos clients internationaux », a déclaré un porte-parole de l'entreprise dans un communiqué.

Zoom est la dernière entreprise technologique à citer le besoin de collaboration en personne pour demander un certain temps de travail au bureau. Les dirigeants de Meta, Salesforce et Google ont avancé les mêmes arguments.

De récentes données du Bureau américain des statistiques du travail comptant pour l’entièreté de l’année 2022 font état de ce que les employés en télétravail à temps plein ont travaillé 2,5 heures de moins par jour que ceux dans les bureaux. En moyenne, ceux qui ont travaillé à distance l’ont fait 5,4 heures par jour contre 7,9 heures par jour pour ceux au bureau. De quoi conclure que le travail à distance rend les employés en télétravail moins productifs que ceux dans les bureaux ? La question divise quand on prend en compte que certaines études font état de ce qu’un employé dans un bureau serait productif sur moins de 3 des 8 heures sur une journée de travail.

Les employés sont-ils plus productifs en télétravail ou dans un bureau ? La question se posait déjà avant la survenue de la pandémie de coronavirus et revient sur la table avec acuité dans l’actuel contexte fait d’appels de retour au bureau par les grandes entreprises. Microsoft a initié un sondage sur un échantillon de 20 000 personnes dans des entreprises disséminées dans 11 pays pour y voir plus clair. Résultat : 87 % des participants à l’enquête disent être plus productifs en télétravail et 88 % des dirigeants émettent des doutes quant à ce que leurs employés en télétravail puissent être plus productifs que dans un bureau.

Les employés de Twitter pouvaient travailler à domicile pour toujours ou de là où ils se sentent le plus productifs et créatifs depuis le mois de mars 2022. C’est l’une des entreprises à avoir adopté l’une des politiques de travail à distance les plus souples en raison de la survenue de la pandémie de coronavirus. Cette donne a changé avec l’acquisition de Twitter par Elon Musk. L’une de ses premières mesures : fin du télétravail pour ceux qui continuent à faire partie des effectifs du réseau social après la suppression de la moitié des emplois. Ce dernier a ensuite confirmé son positionnement dans une sortie selon laquelle « le télétravail est une connerie qui pose un problème moral et est cause de baisse de productivité. »

« Je crois fermement que les gens doivent être plus productifs lorsqu’ils sont lancés sur la formule "présentiel au bureau" », a-t-il déclaré avant d’ajouter entre autres que « le télétravail pose un problème moral, car c’est une formule injuste pour les personnes qui ne peuvent travailler à domicile. »

Pourtant, certaines études font état de ce que le travail à distance n’a pas d’impact négatif sur la productivité des travailleurs

L'équipe de l'université du Texas a travaillé sur des données d’un logiciel fourni par une grande entreprise pétrolière et gazière de Houston. Pendant la période d'étude (de janvier 2017 à décembre 2018), l'entreprise a été contrainte de fermer ses bureaux en raison des inondations provoquées par l'ouragan Harvey, ce qui a obligé les employés à travailler à distance pendant une période prolongée.

Les chercheurs ont examiné les données technologiques des employés (le nombre total d'heures travaillées par employé, le temps de travail actif total, l'utilisation du clavier par minute active, l'utilisation de la souris par minute active, les mots tapés par heure et le nombre d'erreurs typographiques par mot tapé) avant, pendant et après l'ouragan Harvey. Ils ont constaté que, bien que l'utilisation totale des ordinateurs ait diminué pendant l'ouragan, les comportements professionnels des employés pendant la période de sept mois de travail à distance sont revenus aux niveaux d'avant l'ouragan. Cette conclusion suggérait que le travail à distance n'a pas d'impact négatif sur la productivité des personnes lancées sur la formule télétravail.

Néanmoins, le télétravail introduit un facteur « difficulté de collaboration à distance » avec un possible impact sur la productivité

Cette étude fait suite à celle de Hogan Assessments 43 % des travailleurs ont déclaré être plus productifs à domicile, 44 % ont déclaré être aussi productifs et seulement 13 % ont déclaré être moins productifs. Toutefois, le rapport montre que les travailleurs ont trouvé la collaboration à distance plus difficile, de sorte que le fait que la plupart des travailleurs aient déclaré se sentir aussi ou plus productifs est dû au fait qu'ils étaient plus productifs lorsqu'ils travaillaient seuls.

C’est une brèche dans laquelle s’engouffrent les chefs d’entreprise quand on sait qu’ils sont d’avis que les employés doivent retourner au bureau, car cela stimule la créativité : « la communication marche mieux face à face. » Les dirigeants sont convaincus que les collègues construisent de meilleures relations de travail par exemple quand ils prennent le déjeuner ensemble, prennent le temps de discuter de divers sujets, même les plus banals ou alors participent à des exercices destinés à développer l’esprit d’équipe.

En droite ligne avec ce positionnement, ces derniers évoquent un « impact sur la créativité. » Le mythe selon lequel un manque d’interaction sociale réduit la créativité et l’innovation reste profondément ancré. C’est d’ailleurs l’un des arguments sur lesquels s’appuyait Marissa Mayer pour s’ériger contre le télétravail lorsqu’elle a déclaré que « certaines des meilleures idées et décisions surviennent après des discussions à la cafétéria ou au couloir, après des rencontres avec les gens et des rendez-vous d’équipes impromptus ».

Toutefois, si des recruteurs estiment que les conversations dans le genre « peux-tu s’il te plaît vérifier ceci ? » sont importantes, des contradicteurs pointent le revers de la médaille. Ces derniers indiquent que des « interactions » peuvent se transformer en « interruptions » qui coûtent plus ou moins cher en termes de productivité et flux de créativité. Des tiers en télétravail avancent par exemple que « les distractions sont insupportables. Les téléphones qui sonnent, les gens qui débarquent et ressentent toujours le besoin d’interrompre pour absolument tout (que ça soit relié ou non au travail) et plusieurs appels à propos de projets qui ne sont pas liés qui résultent en changement de contexte. »

Un employé dans un bureau serait productif sur moins de 3 des 8 heures sur une journée de travail

L’étude d’Invitation Digital Ltd a porté sur près de 2000 (1989 pour être exact) employés de bureau (à temps plein) âgés de plus de 18 ans et disséminés sur l’ensemble du territoire du Royaume-Uni. En réponse à la question de savoir s’ils se considèrent comme productifs tout au long d’une journée de travail, la grande majorité (soit 79 %) a répondu non. D’après les résultats de l’étude, seul le cinquième (donc les 21 % restants) a répondu par l’affirmative. Le sondage a ensuite révélé que la durée moyenne de productivité sur le lieu de service est de 2 h 53 min, soit moins de 3 h.

Et vous ?

Ces statistiques collent-elles avec la réalité dont vous êtes au fait ?
Êtes-vous personnellement plus productif en travaillant à distance ?
Quelles sont pour vous les difficultés majeures qui limitent votre productivité dans ce mode de travail ?
La collaboration entre vous et vos collègues a-t-elle été affectée par le travail à domicile ?

Voir aussi :

Le travail à domicile présente tant d'avantages que 48 % des travailleurs accepteraient une baisse de salaire pour continuer en télétravail, selon une étude

Le travail hybride sera-t-il la nouvelle norme pour les professionnels de la Tech ? une récente étude montre que 86 % de ces professionnels en Europe ne veulent pas rentrer au bureau à plein temps

L'option télétravail pourrait se poursuivre sur 2 ans à cause de la pandémie : motif d'inquiétude valable pour les patrons ? Ramener les employés au bureau pourrait être de plus en plus difficile

Le télétravail a fait grimper la productivité des salariés de 22 %, d'après une étude de l'institut Sapiens, qui souligne en sus que cela a permis une sauvegarde de 9 points du PIB français en 2020

[Aesir]

De toute façon, managers comme CEO ne servent à rien si ce n'est être payés plus et faire les coqs entre eux

[Eric80]

en théorie, les managers et CEO sont censé décider d une stratégie, de projets et de mener les équipes pour y parvenir...

[Eric80]

la solution hybride qques jours par semaine s impose de + en +.

Mais il y a d autres alternatives, par ex faire une semaine de workshop en présentiel tous ensemble une fois tout les x semaines et entre ce workshop/hackathon, laisser chacun en télétravail.
Qd on a une équipe éparpillée sur plusieurs endroits mondialement, ce genre de workshop est un must.

J'ai travaillé les 12 derniers mois ainsi, avec une équipe entre USA, Canada, UK, Allemagne, Suisse, Espagne, Italie et Inde! ~30 personnes au total, avec 1 à 5 personnes par site. On s'est mis depuis 6 mois dans des cycles de 3 mois, avec 1 semaine de 'hackathon' tous 3 mois, les 2 1ers en Allemagne, le suivant en Espagne.
Étant sur un site avec '1', j ai bossé QUE en télétravail.
Sur les sites 2 à 5, chq sous équipe décide des besoins de se voir plus fréquemment. Les plus grandes équipes (Inde et Allemagne) se retrouvent bcp plus souvent et bossent globalement au bureau. Les autres sont trop éparpillés pour que cela soit pertinent.

Etant seul pendant 3 mois, j apprécie bcp la semaine de worshop qui permet de se lier avec les collègues. Cela augmente aussi la motivation qd on a connu ses collègues en présentiel.

[xarkam]

Une étude avec si peu de personnes répondant, n'est pas significative, car depuis le covid plein d'études sortes chacune disant le contraire de l'autre.

Cependant, pour des personnes voulant asseoir leur contrôle sur les autres, l'étude fait sens et leur offre un argument.

Le télétravail n'est pas fait pour tout le monde. Il faut avoir faire preuve rigueur dans son organisation chez soi.

La travaille hybride devient de plus en plus la norme pour le dev.


Avoir une pièce chez soi dédiée au boulot est assurément en plus. Tout le monde n'a pas cette possibilité.

Quant au fameux argument de l'idée trouvée au détour d'une conversation dans un couloir ou à la machine à café, c'est surtout de la fumisterie.
Tout le monde sais qu'a la machine à café on ne parle pas boulot.

[Patrick Ruiz]

Le PDG d'une entreprise IT, qui vaut près de 12 milliards de $, se rend au bureau environ une fois par trimestre et permet à ses employés de faire pareil
Car cela n’impacte pas sur la productivité

Les employés sont-ils plus productifs en télétravail ou dans un bureau ? La question se posait déjà avant la survenue de la pandémie de coronavirus. Elle revient sur la table avec acuité dans l’actuel contexte fait d’appels à répétition de retour au bureau par les entreprises de la filière technologique. Elle divise dans la filière technologique. En effet, dans une récente sortie le PDG d’Atlassian déclare que le télétravail n’a pas d’impact négatif sur la productivité. C’est un positionnement qui tranche avec celui d’autres chefs d’entreprise selon lesquels le télétravail est un frein pour la productivité et la créativité.

« Le travail est une vocation et non un lieu. Nous attendons donc des gens qu'ils puissent travailler chez eux, depuis un café, un bureau, mais nous ne nous soucions pas vraiment de l'endroit où ils font leur travail. Ce qui nous importe, c'est le résultat qu'ils produisent », déclare le CEO d’Atlassian qui ajoute que « je travaille depuis mon domicile tout le temps et cela ne m’empêche pas de bosser dur. Et je le fais avec des équipes autour du monde et basées en Australie. Une grosse partie de nos équipes est en télétravail et nous n’avons pas constaté de changement dans la productivité. »

Son positionnement tranche avec celui de plusieurs dirigeants pour le retour des employés au bureau. Même Zoom, dont le logiciel de visioconférence a permis de lancer la plus grande expérience au monde de travail à domicile pendant la pandémie de la Covid-19, demande désormais à ses employés de retourner au bureau. Motif : cela permet l’atteinte de leur maximum en capacité d’innovation et une meilleure connaissance les uns des autres. C’est une sortie en phase avec celle d’autres dirigeants comme Tim Cook selon lesquels « les employés doivent retourner au bureau, car cela stimule la créativité. »

Les employés de Twitter pouvaient travailler à domicile pour toujours ou de là où ils se sentent le plus productifs et créatifs depuis le mois de mars 2022. C’est l’une des entreprises à avoir adopté l’une des politiques de travail à distance les plus souples en raison de la survenue de la pandémie de coronavirus. Cette donne a changé avec l’acquisition de Twitter par Elon Musk. L’une de ses premières mesures : fin du télétravail pour ceux qui continuent à faire partie des effectifs du réseau social après la suppression de la moitié des emplois. Ce dernier a ensuite confirmé son positionnement dans une sortie selon laquelle « le télétravail est une connerie qui pose un problème moral et est cause de baisse de productivité. »

« Je crois fermement que les gens doivent être plus productifs lorsqu’ils sont lancés sur la formule "présentiel au bureau" », a-t-il déclaré avant d’ajouter entre autres que « le télétravail pose un problème moral, car c’est une formule injuste pour les personnes qui ne peuvent travailler à domicile. »

Pourtant, certaines études font état de ce que le travail à distance n’a pas d’impact négatif sur la productivité des travailleurs

L'équipe de l'université du Texas a travaillé sur des données d’un logiciel fourni par une grande entreprise pétrolière et gazière de Houston. Pendant la période d'étude (de janvier 2017 à décembre 2018), l'entreprise a été contrainte de fermer ses bureaux en raison des inondations provoquées par l'ouragan Harvey, ce qui a obligé les employés à travailler à distance pendant une période prolongée.

Les chercheurs ont examiné les données technologiques des employés (le nombre total d'heures travaillées par employé, le temps de travail actif total, l'utilisation du clavier par minute active, l'utilisation de la souris par minute active, les mots tapés par heure et le nombre d'erreurs typographiques par mot tapé) avant, pendant et après l'ouragan Harvey. Ils ont constaté que, bien que l'utilisation totale des ordinateurs ait diminué pendant l'ouragan, les comportements professionnels des employés pendant la période de sept mois de travail à distance sont revenus aux niveaux d'avant l'ouragan. Cette conclusion suggérait que le travail à distance n'a pas d'impact négatif sur la productivité des personnes lancées sur la formule télétravail.

Néanmoins, le télétravail introduit un facteur « difficulté de collaboration à distance » avec un possible impact sur la productivité

Cette étude fait suite à celle de Hogan Assessments 43 % des travailleurs ont déclaré être plus productifs à domicile, 44 % ont déclaré être aussi productifs et seulement 13 % ont déclaré être moins productifs. Toutefois, le rapport montre que les travailleurs ont trouvé la collaboration à distance plus difficile, de sorte que le fait que la plupart des travailleurs aient déclaré se sentir aussi ou plus productifs est dû au fait qu'ils étaient plus productifs lorsqu'ils travaillaient seuls.

C’est une brèche dans laquelle s’engouffrent les chefs d’entreprise quand on sait qu’ils sont d’avis que les employés doivent retourner au bureau, car cela stimule la créativité : « la communication marche mieux face à face. » Les dirigeants sont convaincus que les collègues construisent de meilleures relations de travail par exemple quand ils prennent le déjeuner ensemble, prennent le temps de discuter de divers sujets, même les plus banals ou alors participent à des exercices destinés à développer l’esprit d’équipe.

En droite ligne avec ce positionnement, ces derniers évoquent un « impact sur la créativité. » Le mythe selon lequel un manque d’interaction sociale réduit la créativité et l’innovation reste profondément ancré. C’est d’ailleurs l’un des arguments sur lesquels s’appuyait Marissa Mayer pour s’ériger contre le télétravail lorsqu’elle a déclaré que « certaines des meilleures idées et décisions surviennent après des discussions à la cafétéria ou au couloir, après des rencontres avec les gens et des rendez-vous d’équipes impromptus ».

Toutefois, si des recruteurs estiment que les conversations dans le genre « peux-tu s’il te plaît vérifier ceci ? » sont importantes, des contradicteurs pointent le revers de la médaille. Ces derniers indiquent que des « interactions » peuvent se transformer en « interruptions » qui coûtent plus ou moins cher en termes de productivité et flux de créativité. Des tiers en télétravail avancent par exemple que « les distractions sont insupportables. Les téléphones qui sonnent, les gens qui débarquent et ressentent toujours le besoin d’interrompre pour absolument tout (que ça soit relié ou non au travail) et plusieurs appels à propos de projets qui ne sont pas liés qui résultent en changement de contexte. »

Un employé dans un bureau serait productif sur moins de 3 des 8 heures sur une journée de travail

L’étude d’Invitation Digital Ltd a porté sur près de 2000 (1989 pour être exact) employés de bureau (à temps plein) âgés de plus de 18 ans et disséminés sur l’ensemble du territoire du Royaume-Uni. En réponse à la question de savoir s’ils se considèrent comme productifs tout au long d’une journée de travail, la grande majorité (soit 79 %) a répondu non. D’après les résultats de l’étude, seul le cinquième (donc les 21 % restants) a répondu par l’affirmative. Le sondage a ensuite révélé que la durée moyenne de productivité sur le lieu de service est de 2 h 53 min, soit moins de 3 h.

Et vous ?

Quel commentaire faites-vous de l’avis selon lequel « le plus important n’est pas de s’appesantir sur le lieu depuis lequel un employé travaille mais plutôt sur les résultats qu’il produit ? »
Ces statistiques collent-elles avec la réalité dont vous êtes au fait ?
Êtes-vous personnellement plus productif en travaillant à distance ?
Quelles sont pour vous les difficultés majeures qui limitent votre productivité dans ce mode de travail ?
La collaboration entre vous et vos collègues a-t-elle été affectée par le travail à domicile ?

Voir aussi :

Le travail à domicile présente tant d'avantages que 48 % des travailleurs accepteraient une baisse de salaire pour continuer en télétravail, selon une étude

Le travail hybride sera-t-il la nouvelle norme pour les professionnels de la Tech ? une récente étude montre que 86 % de ces professionnels en Europe ne veulent pas rentrer au bureau à plein temps

L'option télétravail pourrait se poursuivre sur 2 ans à cause de la pandémie : motif d'inquiétude valable pour les patrons ? Ramener les employés au bureau pourrait être de plus en plus difficile

Le télétravail a fait grimper la productivité des salariés de 22 %, d'après une étude de l'institut Sapiens, qui souligne en sus que cela a permis une sauvegarde de 9 points du PIB français en 2020