Zoom lance une nouvelle fonctionnalité de sécurité afin de prévenir le “zoombombing”. Le service scan en permanence internet afin de prévenir les organisateurs de visioconférences s’ils risquent d’être perturbés par des invités surprises.

Cette nouvelle fonctionnalité, nommée « At-Risk Meeting Notifier », analyse en permanence les messages publiés sur les sites publics et sur les réseaux sociaux afin de trouver les liens vers les réunions Zoom. Si le système trouve l’URL d’une réunion, il envoie automatiquement un courriel à l’organisateur de la réunion afin de l’alerter que des individus non invités pourraient accéder à la réunion et la perturber. Cette fonctionnalité est entièrement automatisée et fonctionne en arrière-plan sur les serveurs back-end de Zoom.

Ce type de perturbation est connu sous les noms de : « zoom raiding » ou « zoombombing », un nom dérivé du « photo bombing », le concept de s’inviter sur une photo par surprise. Dans le cas de Zoom, des individus rejoignent une réunion sans y être invité. Bien souvent, ils n’ont pas d’objectifs particuliers et ne font que perturber les participants en les insultant, les menaçant ou en diffusant du contenu pornographique. Il s’agit d’un des principaux problèmes de sécurité de Zoom depuis que le service a rencontré le succès lors du premier confinement. 

Le phénomène a commencé en avril dernier, lors du premier confinement, quand Zoom est devenu le système de visioconférence par défaut. A l’époque, il suffisait d’une adresse URL pour rejoindre un appel, il était alors possible de rejoindre des appels simplement en entrant des URL au hasard. Le zoombombing était si fréquent que des entreprises comme Google ou le gouvernement canadien ont interdit à leurs employés d’utiliser le service de visioconférence. En réaction, Zoom a instauré un mot de passe propre à chaque réunion par défaut. Il a également ajouté un bouton permettant de signaler un participant. Si ces changements ont freiné le mouvement, ils n’y ont pas mis fin. Et ce, malgré les menaces du ministère américain de la Justice de poursuivre les auteurs de raids Zoom en avril dernier. 

Aujourd’hui, la première cause de Zoombombing est le partage direct de l’URL et du mot de passe sur les réseaux sociaux ou sur Discord. Même si les mesures mises en place par Zoom sont efficaces, il suffit qu’un individu ayant l’URL et le mot de passe de la réunion les relaye sur un réseau public, volontairement ou non, pour que des individus non désirés la rejoignent. 

Ce nouveau dispositif vient donc limiter le phénomène en détectant automatiquement les URL Zoom sur les réseaux publics. Évidemment, il ne pourra pas prédire 100% des cas de Zoombombing puisqu’il ne peut détecter les URL que sur le web public. Ainsi, si les bombers utilisent une discussion privé ou un réseau fermé, le nouveau système de Zoom sera inefficace. Cependant, il faut garder à l’esprit que le zoombombing n’a pas d’objectif rationnel. Il suffit donc de rendre le zoombombing suffisamment compliqué pour y mettre un terme.