Zoombombing
Le zoombombing ou zoom raiding[1] est une intrusion non désirée et perturbatrice, généralement effectuée par des trolls ou des pirates informatiques, dans une vidéoconférence. Dans un incident typique de zoombombing, une session de téléconférence est détournée par l'insertion de matériel de nature obscène, raciste ou antisémite, résultant généralement de la fermeture de la session.
Le terme est associé au nom du logiciel de vidéoconférence Zoom en est dérivé, mais il a également été utilisé pour désigner le phénomène sur d'autres plateformes de vidéoconférence. Le terme s'est popularisé en 2020, après que la pandémie de Covid-19 a forcé de nombreuses personnes à rester chez elles et que la vidéoconférence a été utilisée à grande échelle par les entreprises, les écoles et les groupes sociaux.
Le zoombombing a causé des problèmes importants aux écoles, aux entreprises et aux organisations du monde entier. Ces incidents ont entraîné une méfiance envers le logiciel Zoom ainsi que des restrictions sur l'utilisation de la plateforme par les institutions éducatives, les entreprises et les gouvernements. En réponse, Zoom a pris des mesures pour augmenter la sécurité de son application de téléconférence. Les incidents de zoombombing ont incité les autorités locales et fédérales de divers pays à enquêter sur ces cas et à engager des poursuites pénales contre les contrevenants.
Histoire
modifierLe terme zoombombing est dérivé de l'application de téléconférence Zoom[2], bien que le terme ait également été utilisé en référence à des incidents similaires sur d'autres plateformes de téléconférence, telles que WebEx ou Skype[3].
L'utilisation accrue de Zoom pendant la pandémie de Covid-19 comme alternative aux réunions en face à face a attiré les pirates informatiques et les trolls Internet, qui exploitaient et contournaient les dispositifs de sécurité de l'application[2]. Dans divers serveurs tels que Discord et Reddit, des efforts ont été coordonnés pour perturber des sessions Zoom, tandis que certains comptes Twitter annonçaient des mots de passe pour des sessions susceptibles d'être rejointes[4].
Dans les établissements d'enseignement, certains étudiants demandaient activement à des inconnus de zoombomber leurs salles de classe virtuelles afin de pimenter leurs leçons virtuelles et ils facilitaient les raids en partageant leurs mots de passe avec les malfaiteurs[5].
CNET a mentionné que de simples recherches sur Google pour des URL incluant Zoom.us pourraient révéler des liens de conférences non protégées par un mot de passe[6].
Les pirates et les trolls recherchent également des cibles faciles comme des réunions non protégées ou mal protégées au cours desquelles les organisations rencontrent leurs employés ou leurs clients à distance[7].
Lorsqu'une session Zoom est en cours, des utilisateurs inconnus se présentent et détournent la session en disant ou en montrant des choses de nature obscène, raciste ou antisémite. La vidéoconférence compromise est alors généralement fermée par l'hôte[2],[8]. Certaines sessions compromises ont été publiées sur des plateformes de partage telles que TikTok et YouTube[9].
Réponses
modifierLe zoombombing a causé des problèmes aux écoles et aux éducateurs lorsque des participants indésirables ont affiché des contenus obscènes pour perturber des cours en ligne[8],[10],[11]. Certaines écoles ont dû cesser d'utiliser la vidéoconférence[12]. L'Université de Californie du Sud a qualifié le zoombombing de trolling et s'est excusée pour les événements disgracieux qui ont interrompu les conférences et les séances d'apprentissage[13].
Le zoombombing a incité les collèges et les universités à publier des guides et des directives pour éduquer et sensibiliser leurs étudiants et leur personnel à ce phénomène[14]. Ces crimes ont attiré l'attention non seulement sur le manque de sécurité des plateformes de vidéoconférence, mais aussi sur le manque de sensibilité à la sécurité informatique des universités.
Le problème a pris une telle ampleur que le Federal Bureau of Investigation (FBI) des États-Unis a mis en garde contre les détournements de vidéoconférences et de salles de classe en ligne[15],[16]. Le FBI a conseillé aux utilisateurs de logiciels de téléconférence de garder les réunions privées, d'exiger des mots de passe ou d'autres formes de contrôle d'accès telles que les salles d'attente pour limiter l'accès à certaines personnes seulement, et de limiter l'accès au partage d'écran à l'hôte de la réunion[15]. Vu le nombre d'incidents de zoombombing, le procureur général de New York a lancé une enquête sur les politiques de confidentialité et de sécurité des données de la compagnie Zoom[17]. Le sénateur américain Sherrod Brown a demandé à la Federal Trade Commission d'enquêter sur cette affaire, accusant Zoom de se livrer à des pratiques trompeuses concernant la vie privée et la sécurité des utilisateurs[18].
En raison des inquiétudes suscitées par le zoombombing, plusieurs organisations ont interdit l'utilisation de Zoom. En , Google a interdit l'utilisation de Zoom sur ses ordinateurs d'entreprise, en demandant à ses employés d'utiliser plutôt son application de chat vidéo Google Duo[19]. L'utilisation de Zoom a également été interdite par SpaceX, Smart Communications, la NASA et les forces de défense australiennes[19]. Les gouvernements taïwanais et canadien ont interdit l'utilisation de Zoom pour tout usage gouvernemental[20]. Le Département de l'Éducation de la ville de New York a interdit à tous ses enseignants d'utiliser la plate-forme avec des étudiants, et le Clark County School District (en) du Nevada a désactivé l'accès à Zoom pour son personnel[21]. Le ministère de l'Éducation de Singapour a brièvement interdit à tous les enseignants du pays d'utiliser Zoom[22],[23], avant de lever l'interdiction trois jours plus tard, après avoir ajouté des dispositifs de sécurité[24].
Des zoombombers ont partagé leurs versions des événements, affirmant qu'ils n'essayaient pas de faire du mal. Certains prétendent qu'il agissent pour protester contre le travail excessif demandé par les enseignants. Tous les incidents ne sont pas malveillants, car certains partagent une nouvelle culture pop, comme les mèmes et les TikToks, pour apporter un peu de détente et de plaisir pendant la pandémie[1].
Le PDG de Zoom, Eric Yuan, a présenté des excuses publiques, déclarant que la société de téléconférence n'avait pas prévu l'afflux soudain de nouveaux utilisateurs pendant la pandémie et affirmant que « c'est une erreur et une leçon apprise »[25],[26]. Zoom a publié sur son blogue un guide sur la manière d'éviter ce type d'incidents[27].
Le , Zoom a mis en place des mises à jour de l'expérience utilisateur et de la sécurité de l'application. Ces mises à jour comprennent une icône Sécurité plus visible, la suppression des numéros d'identification des réunions de la barre d'outils de Zoom[26] et une modification des paramètres par défaut pour exiger des mots de passe et des salles d'attente pour les sessions[28]. Le , Zoom a annoncé qu'elle avait formé un conseil de responsables de la sécurité de l'information d'autres entreprises pour partager des idées sur les bonnes pratiques, et qu'elle avait engagé Alex Stamos (en), ancien responsable de la sécurité de Facebook, comme conseiller[29].
Zoom a publié sa version 5.0 en avec des fonctions de sécurité qui comprennent le cryptage AES 256 bits GCM, des mots de passe par défaut, et une fonction permettant de signaler les utilisateurs suspects à son équipe de confiance et de sécurité[30],[31]. En , Zoom a annoncé qu'elle avait temporairement désactivé son intégration Giphy (fréquemment utilisée comme tactique de zoombombing) jusqu'à ce que les problèmes de sécurité puissent être correctement et complètement résolu[32].
Le , Zoom a déclaré avoir mis en place 100 nouvelles fonctions de sécurité au cours des 90 derniers jours, notamment le chiffrement de bout en bout pour tous les utilisateurs, l'activation par défaut des mots de passe de réunion, la possibilité pour les utilisateurs de choisir de quels centres de données les appels sont acheminés, la consultation d'experts en sécurité, la formation d'un conseil de responsables de la sécurité de l'information, un programme amélioré de prime aux bogues et la collaboration avec des tiers pour aider à tester la sécurité[33],[34].
Usage criminel
modifierLes autorités nationales du monde entier ont mis en garde contre d'éventuelles accusations contre des personnes se livrant au zoombombing[35],[36].
Le , un adolescent de Madison, dans le Connecticut, a été arrêté pour cybercrime, conspiration et trouble de l'ordre public à la suite d'un incident de zoombombing impliquant des cours en ligne au Daniel Hand High School (en). La police a également identifié un autre adolescent impliqué dans l'incident[37].
A San Francisco, un homme a été arrêté après avoir été identifié comme la source de vidéos pornographiques diffusées en continu sur Zoom[38]. En , le FBI a traité 195 cas de zoombombing impliquant des abus sur des enfants[39], tandis que la National Crime Agency a traité plus de 120 cas de ce type[40].
L'église luthérienne St. Paulus (en) de San Francisco a intenté une action collective contre Zoom après qu'un de ses cours d'étude biblique ait été zombombé le [41]. L'église a allégué que Zoom n'avait rien fait lorsqu'elle a contacté la société[42].
Références
modifier- (en) Taylor Lorenz et Davey Alba, « ‘Zoombombing’ Becomes a Dangerous Organized Effort », The New York Times, (lire en ligne, consulté le ) :
.« “Zoombombing” or “Zoom raiding” by uninvited participants have become frequent »
- Ally Marotti, « Zoom video meetings are being interrupted by hackers spewing hate speech and showing porn. It’s called ‘Zoombombing.’ Here’s how to prevent it. », sur Chicago Tribune, (consulté le ).
- Shannon Holmberg, « Zoombombing, Location Tracking, and Contact Tracing, Oh My! Data Privacy & Cybersecurity During the COVID-19 Pandemic », sur JD Supra, (consulté le ).
- (en) Catalin Cimpanu, « The internet is now rife with places where you can organize Zoom-bombing raids » [archive du ], sur ZDNet, (consulté le ).
- Audrey Conklin, « 'Zoombombing' is an inside job? Meeting codes shared on Twitter », Fox Business, (lire en ligne, consulté le ).
- Rae Hodge, « Zoombombing: What it is and how you can prevent it in Zoom video chat » [archive du ], sur CNET, .
- Rebecca Brazzano, « Zoombombing, Sexting and Revenge Porn, Oh My! », sur Law.com, ALM, (consulté le ).
- Roxanna Xia, Howard Blume et Luke Money, « USC, school districts getting ‘Zoom-bombed’ with racist taunts, porn as they transition to online meetings », sur Los Angeles Times, (consulté le ).
- (en) « Were You Zoom-Bombed? Video of It May Now Be on YouTube, TikTok for All to See », sur PC Magazine (consulté le ).
- Elizabeth Redden, « 'Zoombombers' disrupt online classes with racist, pornographic content », sur Inside Higher Ed, (consulté le ).
- Nick Anderson, « 'Zoombombing' disrupts online classes at University of Southern California », sur The Washington Post, (consulté le ).
- (en-US) Zack Whittaker, « School quits video calls after naked man 'guessed' the meeting link », sur TechCrunch, (consulté le ).
- Brooke Wolford, « 'Zoombombing' is the new way to troll online. Here's how to protect your video chat », sur Miami Herald, (consulté le ).
- Lindsay McKenzie, « 'Zoombies' Take Over Online Classrooms », Inside Higher Ed, (consulté le ).
- (en) Kristen Setera, « FBI Warns of Teleconferencing and Online Classroom Hijacking During COVID-19 Pandemic » [archive du ], sur Federal Bureau of Investigation, (consulté le ) : « people turn to video-teleconferencing (VTC) platforms to stay connected in the wake of the COVID-19 crisis, reports of VTC hijacking (also called "Zoom-bombing") are emerging ».
- Dakin Andone, « FBI warns video calls are getting hijacked. It's called 'Zoombombing' », sur CNN, (consulté le ).
- (en) Danny Hakim et Natasha Singer, « New York Attorney General Looks Into Zoom's Privacy Practices », The New York Times, (lire en ligne, consulté le ) :
.« Over the last few weeks, internet trolls have exploited a Zoom screen-sharing feature to hijack meetings and do things like interrupt educational sessions or post white supremacist messages to a webinar on anti-Semitism — a phenomenon called “Zoombombing.” [...] “We appreciate the New York attorney general’s engagement on these issues »
- Shannon Bond, « Senator Asks FTC To Investigate Zoom's 'Deceptive' Security Claims », sur National Public Radio, (consulté le ).
- Brandon Vigliarolo, « Who has banned Zoom? Google, NASA, and more », sur TechRepublic, (consulté le ).
- « Taiwan joins Canada in banning Zoom for government video conferencing », sur Canadian Broadcasting Corporation, (consulté le ).
- Valerie Strauss, « School districts, including New York City’s, start banning Zoom because of online security issues », sur The Washington Post, (consulté le ).
- (en) Jalelah Abu Baker, « MOE suspends use of Zoom in home-based learning following breaches involving obscene images », CNA, (lire en ligne, consulté le ).
- « Singapore bans teachers using Zoom after hackers post obscene images on screens », sur The Guardian, (consulté le ).
- (en) hermesauto, « Singapore schools to resume use of Zoom for home-based learning with additional safeguards in place », sur The Straits Times, (consulté le ).
- « After Zoom calls hacked with racial slurs and pornography, CEO admits "mistake" », sur CBS News, (consulté le ).
- Kevin Billings, « Zoom Announces New Security Changes In Response To Hacks And 'Zoom-Bombing' Incidents », sur International Business Times, (consulté le ).
- « How to Keep the Party Crashers from Crashing Your Zoom Event », sur Zoom Blog, (consulté le ).
- Jay Peters, « Zoom adds new security and privacy measures to prevent Zoombombing », sur The Verge, (consulté le ).
- Natasha Singer, « Zoom Rushes to Improve Privacy for Consumers Flooding Its Service », New York Times, (lire en ligne, consulté le ).
- « 90-Day Security Plan Progress Report: April 22 », Zoom Video Communications, (consulté le ).
- « 'Zoombombing' targeted with new version of app », BBC News, (consulté le ).
- (en) Kim Lyons, « Zoom has temporarily removed Giphy from its chat feature », sur The Verge, (consulté le ).
- Jay Peters, « Zoom promises its first transparency report later this year », The Verge, (lire en ligne, consulté le ).
- Danny Cruze, « Zoom released 100 new security features in 90 days », Live Mint, (lire en ligne, consulté le ).
- « Federal, State, and Local Law Enforcement Warn Against Teleconferencing Hacking During Coronavirus Pandemic »(Archive.org • Wikiwix • Archive.is • Google • Que faire ?), .
- United States District Court for the Eastern District of Michigan, « Federal, State, and Local Law Enforcement Warn Against Teleconferencing Hacking During Coronavirus Pandemic », (consulté le ).
- Jason Murdock, « Connecticut Teen Arrested for Allegedly 'Zoom Bombing' Virtual High School Lessons and Using 'Obscene Language and Gestures' », sur Newsweek, (consulté le ).
- (en-US) « SF Man Traced From Zoom Streaming Activity Faces Child Porn Charges », sur NBC Bay Area (consulté le ).
- « FBI Issues Warning To Public After Reports Of ‘Zoombombing’ With Child Abuse Being Displayed During Virtual Meetings », sur WCCO-TV, Minneapolis, (consulté le ).
- « More than 120 cases of child abuse Zoombombing in UK being investigated », sur The Irish Times, (consulté le ).
- Kelly Tyko, « California church files class action lawsuit against Zoom after bible class 'Zoombombing' », USA Today, (consulté le ).
- Alexandra Kelley, « California church sues Zoom over 'Zoombombing' pornography incident », The Hill, (consulté le ).
Voir aussi
modifierArticles connexes
modifier- Photobombing, une intrusion accidentelle ou intentionnelle d'une personne au premier plan ou à l'arrière-plan d'une photographie en train d'être prise
- Mail-bombing ou bombardement de messagerie ou bombarderie, une attaque visant à saturer une boîte de réception électronique par l'envoi en masse de messages par un programme automatisé
- Griefer, un joueur qui, dans un jeu vidéo multijoueur, irrite volontairement et harcèle les autres joueurs
- Troll, un individu qui vise à générer des polémiques