Québec recommande à ses établissements de santé d’utiliser l’application de vidéoconférence Zoom pour des consultations en ces temps de confinement. La plateforme a pourtant fait l'objet d'une avalanche de critiques parce qu'inefficace en matière de protection de la vie privée.

Les centres universitaires de santé de l’Estrie et de l’Ouest-de-l’Île-de-Montréal viennent de renouveler leurs licences pour utiliser le logiciel californien. En fait, Zoom TeleHealth est l'une des trois applications que recommande le Ministère pour faire de la télémédecine dans tout le réseau.

L’Ordre des psychologues suggère aussi à ses membres de l'utiliser pour communiquer avec leurs patients.

Aux États-Unis, pourtant, de grandes organisations abandonnent Zoom les unes après les autres par crainte de voir leurs discussions confidentielles compromises: la NASA, le fabricant de fusées SpaceX, des écoles...

Photo d’archives

Vendredi, un centre de recherche ontarien publiait le dernier d’une série d’articles dévastateurs concernant la plateforme.

Le Citizen Lab de l’Université de Toronto explique comment il a lui-même réussi à déchiffrer une communication vidéo qu’il avait entamée avec un interlocuteur aux États-Unis.

«Étant donné ces problèmes de sécurité troublants, nous déconseillons l’utilisation de Zoom en ce moment pour tout usage secret ou demandant un haut degré de confidentialité, notamment aux fournisseurs de soins de santé qui manipulent de l’information sensible sur les patients», écrivent Bill Marczak et John Scott-Railton, du Citizen Lab.

Les chercheurs notent que Zoom, en plus de n'offrir qu'un piètre cryptage des données, a dû communiquer avec un serveur en Chine pendant leur expérience. Une grande partie des travaux de programmation de la firme californienne sont réalisés dans ce pays.

«Cet arrangement pourrait rendre Zoom vulnérable à la pression des autorités chinoises», selon le Citizen Lab.

C’est loin d’être le seul problème que présente la plateforme: fausse représentation sur la confidentialité des communications, partage de renseignements sur les utilisateurs avec Facebook et LinkedIn, mauvaise protection contre les intrusions dans les vidéoconférences...

«Désolé»

Le 1er avril dernier, le PDG Eric Yuan a lui-même fait son mea-culpa et s’est «excusé» pour la «confusion causée» quant aux méthodes qu'utilise Zoom en ce qui concerne la protection des données.

La firme est accusée d’avoir faussement prétendu que les images et le son des communications de ses utilisateurs étaient chiffrés «de bout en bout» (end-to-end encryption), donc qu'aucun tiers ne pourrait les déchiffrer. Ce qui n'était pas le cas.

«Nous reconnaissons que nous avons échoué à satisfaire les attentes de la communauté – et les nôtres – en matière de vie privée et de sécurité. Pour cette raison, je suis profondément désolé», écrit-il dans son blogue.

Le fondateur de Zoom n’apporte cependant aucune réponse technique aux critiques formulées sur ses mesures de protection des données.

Le Ministère maintient le cap

Rien pour ébranler la confiance de Québec envers Zoom.

Le ministère de la Santé refuse d’accorder une entrevue téléphonique à notre Bureau d’enquête à ce sujet.

Dans un courriel, une porte-parole souligne toutefois que la version de la plateforme autorisée dans le réseau québécois est Zoom TeleHealth et qu’elle a été configurée «pour assurer la protection des données personnelles».

«Le Ministère a opté pour une licence spécifique à la santé basée au Canada, donc il ne s’agirait pas des versions mentionnées dans les précédents articles», écrit Marie-Claude Lacasse.

Elle assure également qu’une équipe de sécurité et des «spécialistes de la télémédecine» ont interrogé leur fournisseur au sujet des articles sur Zoom.

«Les échanges nous ont permis de comprendre que les problématiques citées dans les journaux n’étaient pas applicables à la licence santé et aux infrastructures canadiennes utilisées», dit la porte-parole.

Le Ministère n’a toutefois pas expliqué pourquoi lui non plus.

Le choix du gouvernement fait sourciller l’expert en sécurité de l’information Steve Waterhouse. «Pour l’instant, poursuivre l’utilisation de Zoom dans le réseau de la santé, c’est mettre à risque les données personnelles, dit-il. À moins que le gouvernement ne soit capable de démontrer que l’infrastructure est à la hauteur.»

Selon les experts, la situation est d’autant plus préoccupante que les personnes désireuses d'acquérir d’éventuelles informations dérobées abondent dans le monde du courtage d’assurance, des produits financiers et de l’industrie médicale, par exemple. «Il y a un intérêt croissant pour les données de santé», note le consultant en cybersécurité Jean Loup Le Roux.

Au Ministère de démontrer qu’elles ne sont pas à la portée du premier pirate venu.

Zoom n’a pas répondu à nos questions, se contentant de nous diriger vers des articles de blogue qui n’y répondaient pas davantage.