Zoom à l'EPFL
"Zoom nous offre la meilleure qualité par rapport au nombre d’utilisateurs."
Trois questions à Rafael Corvalán, Directeur des Systèmes d’Information à la VPSI
La société Zoom a fait l’objet de nombreuses critiques visant la sécurité de sa plateforme. Avez-vous envisagé d’autres solutions, notamment suisses ou hébergées en Suisse ?
Nous avons étudié les autres produits. Ils se sont révélés trop justes en termes de nombres de participants pour répondre aux besoins de l’EPFL (Jitsi, Whereby) ou en termes de débit (Switch Open Meet ou Infomaniak Meet qui sont d’ailleurs des implémentations de Jitsi). Il restait Zoom, Webex (Cisco), Google Meet et Microsoft Teams. D’ailleurs, même ce dernier a beaucoup souffert les premières semaines de pandémie et n’a pas tenu le choc. Au final, Zoom nous offre la meilleure qualité par rapport au nombre d’utilisateurs : il permet en effet aux 15'000 étudiants et collaborateurs de suivre leurs cours en ligne et de continuer à faire leur travail dans les meilleures conditions possibles.
Quelles mesures ont été prises par Zoom pour améliorer la sécurité ?
Zoom a annoncé début avril stopper toute évolution du produit pour consacrer les trois prochains mois à en améliorer la sécurité. La plupart des faiblesses signalées ont d’ores et déjà été corrigés ou sont en cours de correction. L’EPFL suit de très près cette progression afin de confirmer que les avancées sécuritaires sont bien réelles. Les efforts entrepris à ce stade sont conséquents. Zoom a notamment engagé Katie Moussouris en qualité de Security Adviser. Il s’agit d’une personnalité reconnue et influente en matière de cybersécurité qui a notamment pour mission de superviser le programme “bug bounty” de Zoom, programme qu’elle avait mis en place chez Microsoft et au Département de la Défense des USA (« U.S. Department of Defense's first bug bounty program for hackers »). Ce programme permet aux développeurs d’annoncer des bugs à l’éditeur avant que le grand public n’en soit informé, permettant de corriger le produit avant que les bugs ne soient exploités.
Et quelles mesures supplémentaires l’EPFL prend-elle ?
Rappelons tout d’abord que tous les étudiants et collaborateurs accrédités à l’EPFL qui veulent organiser des séances doivent se connecter à partir du lien epfl.zoom.us avec authentification via Tequila afin de bénéficier des conditions négociées par l'École.
Les participants peuvent se connecter via le lien qui leur a été fourni par l’organisateur de la séance. Les organisateurs sont invités à ajouter un mot de passe aux séances lors de leur programmation afin de rendre encore plus difficile l’irruption de personnes non autorisées.
L’organisateur est aussi invité à s’assurer que l’invitation n’est envoyée qu’aux personnes autorisées et à ne pas la rendre accessible publiquement.
Si l’enregistrement d’une séance confidentielle est requis, l’organisateur est invité à l’enregistrer localement et pas dans le cloud, évidemment après avoir préalablement averti les participants qu’ils allaient être enregistrés.
Enfin, les utilisateurs sont encouragés à mettre à jour leur client Zoom de manière à toujours disposer de la dernière version.
Retrouvez les bonnes pratiques sur notre aide en ligne.