Zoombombing

Le zoombombing ou zoom raiding^[1] est une intrusion non désirée et perturbatrice, généralement effectuée par des trolls ou des pirates informatiques, dans une vidéoconférence. Dans un incident typique de zoombombing, une session de téléconférence est détournée par l'insertion de matériel de nature obscène, raciste ou antisémite, résultant généralement de la fermeture de la session.

Zoommeeting avec une intrusion indésirable

Le terme est associé au nom du logiciel de vidéoconférence Zoom en est dérivé, mais il a également été utilisé pour désigner le phénomène sur d'autres plateformes de vidéoconférence. Le terme s'est popularisé en 2020, après que la pandémie de Covid-19 a forcé de nombreuses personnes à rester chez elles et que la vidéoconférence a été utilisée à grande échelle par les entreprises, les écoles et les groupes sociaux.

Le zoombombing a causé des problèmes importants aux écoles, aux entreprises et aux organisations du monde entier. Ces incidents ont entraîné une méfiance envers le logiciel Zoom ainsi que des restrictions sur l'utilisation de la plateforme par les institutions éducatives, les entreprises et les gouvernements. En réponse, Zoom a pris des mesures pour augmenter la sécurité de son application de téléconférence. Les incidents de zoombombing ont incité les autorités locales et fédérales de divers pays à enquêter sur ces cas et à engager des poursuites pénales contre les contrevenants.

Histoire

Le terme zoombombing est dérivé de l'application de téléconférence Zoom^[2], bien que le terme ait également été utilisé en référence à des incidents similaires sur d'autres plateformes de téléconférence, telles que WebEx ou Skype^[3].

L'utilisation accrue de Zoom pendant la pandémie de Covid-19 comme alternative aux réunions en face à face a attiré les pirates informatiques et les trolls Internet, qui exploitaient et contournaient les dispositifs de sécurité de l'application^[2]. Dans divers serveurs tels que Discord et Reddit, des efforts ont été coordonnés pour perturber des sessions Zoom, tandis que certains comptes Twitter annonçaient des mots de passe pour des sessions susceptibles d'être rejointes^[4].

Dans les établissements d'enseignement, certains étudiants demandaient activement à des inconnus de zoombomber leurs salles de classe virtuelles afin de pimenter leurs leçons virtuelles et ils facilitaient les raids en partageant leurs mots de passe avec les malfaiteurs^[5].

CNET a mentionné que de simples recherches sur Google pour des URL incluant Zoom.us pourraient révéler des liens de conférences non protégées par un mot de passe^[6].

Les pirates et les trolls recherchent également des cibles faciles comme des réunions non protégées ou mal protégées au cours desquelles les organisations rencontrent leurs employés ou leurs clients à distance^[7].

Lorsqu'une session Zoom est en cours, des utilisateurs inconnus se présentent et détournent la session en disant ou en montrant des choses de nature obscène, raciste ou antisémite. La vidéoconférence compromise est alors généralement fermée par l'hôte^[2],[8]. Certaines sessions compromises ont été publiées sur des plateformes de partage telles que TikTok et YouTube^[9].

Réponses

Le zoombombing a causé des problèmes aux écoles et aux éducateurs lorsque des participants indésirables ont affiché des contenus obscènes pour perturber des cours en ligne^{[8],[10],[11]}. Certaines écoles ont dû cesser d'utiliser la vidéoconférence^[12]. L'Université de Californie du Sud a qualifié le zoombombing de trolling et s'est excusée pour les événements disgracieux qui ont interrompu les conférences et les séances d'apprentissage^[13].

Le zoombombing a incité les collèges et les universités à publier des guides et des directives pour éduquer et sensibiliser leurs étudiants et leur personnel à ce phénomène^[14]. Ces crimes ont attiré l'attention non seulement sur le manque de sécurité des plateformes de vidéoconférence, mais aussi sur le manque de sensibilité à la sécurité informatique des universités.

Le problème a pris une telle ampleur que le Federal Bureau of Investigation (FBI) des États-Unis a mis en garde contre les détournements de vidéoconférences et de salles de classe en ligne^[15],[16]. Le FBI a conseillé aux utilisateurs de logiciels de téléconférence de garder les réunions privées, d'exiger des mots de passe ou d'autres formes de contrôle d'accès telles que les salles d'attente pour limiter l'accès à certaines personnes seulement, et de limiter l'accès au partage d'écran à l'hôte de la réunion^[15]. Vu le nombre d'incidents de zoombombing, le procureur général de New York a lancé une enquête sur les politiques de confidentialité et de sécurité des données de la compagnie Zoom^[17]. Le sénateur américain Sherrod Brown a demandé à la Federal Trade Commission d'enquêter sur cette affaire, accusant Zoom de se livrer à des pratiques trompeuses concernant la vie privée et la sécurité des utilisateurs^[18].

En raison des inquiétudes suscitées par le zoombombing, plusieurs organisations ont interdit l'utilisation de Zoom. En avril 2020, Google a interdit l'utilisation de Zoom sur ses ordinateurs d'entreprise, en demandant à ses employés d'utiliser plutôt son application de chat vidéo Google Duo^[19]. L'utilisation de Zoom a également été interdite par SpaceX, Smart Communications, la NASA et les forces de défense australiennes^[19]. Les gouvernements taïwanais et canadien ont interdit l'utilisation de Zoom pour tout usage gouvernemental^[20]. Le Département de l'Éducation de la ville de New York a interdit à tous ses enseignants d'utiliser la plate-forme avec des étudiants, et le Clark County School District (en) du Nevada a désactivé l'accès à Zoom pour son personnel^[21]. Le ministère de l'Éducation de Singapour a brièvement interdit à tous les enseignants du pays d'utiliser Zoom^[22],[23], avant de lever l'interdiction trois jours plus tard, après avoir ajouté des dispositifs de sécurité^[24].

Des zoombombers ont partagé leurs versions des événements, affirmant qu'ils n'essayaient pas de faire du mal. Certains prétendent qu'il agissent pour protester contre le travail excessif demandé par les enseignants. Tous les incidents ne sont pas malveillants, car certains partagent une nouvelle culture pop, comme les mèmes et les TikToks, pour apporter un peu de détente et de plaisir pendant la pandémie^[1].

Le PDG de Zoom, Eric Yuan, a présenté des excuses publiques, déclarant que la société de téléconférence n'avait pas prévu l'afflux soudain de nouveaux utilisateurs pendant la pandémie et affirmant que « c'est une erreur et une leçon apprise »^[25],[26]. Zoom a publié sur son blogue un guide sur la manière d'éviter ce type d'incidents^[27].

Le 7 avril 2020, Zoom a mis en place des mises à jour de l'expérience utilisateur et de la sécurité de l'application. Ces mises à jour comprennent une icône Sécurité plus visible, la suppression des numéros d'identification des réunions de la barre d'outils de Zoom^[26] et une modification des paramètres par défaut pour exiger des mots de passe et des salles d'attente pour les sessions^[28]. Le 8 avril 2020, Zoom a annoncé qu'elle avait formé un conseil de responsables de la sécurité de l'information d'autres entreprises pour partager des idées sur les bonnes pratiques, et qu'elle avait engagé Alex Stamos (en), ancien responsable de la sécurité de Facebook, comme conseiller^[29].

Zoom a publié sa version 5.0 en avril 2020 avec des fonctions de sécurité qui comprennent le cryptage AES 256 bits GCM, des mots de passe par défaut, et une fonction permettant de signaler les utilisateurs suspects à son équipe de confiance et de sécurité^[30],[31]. En mai 2020, Zoom a annoncé qu'elle avait temporairement désactivé son intégration Giphy (fréquemment utilisée comme tactique de zoombombing) jusqu'à ce que les problèmes de sécurité puissent être correctement et complètement résolu^[32].

Le 1^er juillet 2020, Zoom a déclaré avoir mis en place 100 nouvelles fonctions de sécurité au cours des 90 derniers jours, notamment le chiffrement de bout en bout pour tous les utilisateurs, l'activation par défaut des mots de passe de réunion, la possibilité pour les utilisateurs de choisir de quels centres de données les appels sont acheminés, la consultation d'experts en sécurité, la formation d'un conseil de responsables de la sécurité de l'information, un programme amélioré de prime aux bogues et la collaboration avec des tiers pour aider à tester la sécurité^[33],[34].

Usage criminel

Les autorités nationales du monde entier ont mis en garde contre d'éventuelles accusations contre des personnes se livrant au zoombombing^[35],[36].

Le 8 avril 2020, un adolescent de Madison, dans le Connecticut, a été arrêté pour cybercrime, conspiration et trouble de l'ordre public à la suite d'un incident de zoombombing impliquant des cours en ligne au Daniel Hand High School (en). La police a également identifié un autre adolescent impliqué dans l'incident^[37].

A San Francisco, un homme a été arrêté après avoir été identifié comme la source de vidéos pornographiques diffusées en continu sur Zoom^[38]. En mai 2020, le FBI a traité 195 cas de zoombombing impliquant des abus sur des enfants^[39], tandis que la National Crime Agency a traité plus de 120 cas de ce type^[40].

L'église luthérienne St. Paulus (en) de San Francisco a intenté une action collective contre Zoom après qu'un de ses cours d'étude biblique ait été zombombé le 6 mai 2020^[41]. L'église a allégué que Zoom n'avait rien fait lorsqu'elle a contacté la société^[42].

Références

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Zoombombing » (voir la liste des auteurs).

1. (en) Taylor Lorenz et Davey Alba, « ‘Zoombombing’ Becomes a Dangerous Organized Effort », The New York Times,‎ 3 avril 2020 (lire en ligne, consulté le 4 avril 2020) :

   « “Zoombombing” or “Zoom raiding” by uninvited participants have become frequent »

   .
2. Ally Marotti, « Zoom video meetings are being interrupted by hackers spewing hate speech and showing porn. It’s called ‘Zoombombing.’ Here’s how to prevent it. », sur Chicago Tribune, 2 avril 2020 (consulté le 11 avril 2020).
3. Shannon Holmberg, « Zoombombing, Location Tracking, and Contact Tracing, Oh My! Data Privacy & Cybersecurity During the COVID-19 Pandemic », sur JD Supra, 20 avril 2020 (consulté le 19 mai 2020).
4. (en) Catalin Cimpanu, « The internet is now rife with places where you can organize Zoom-bombing raids » [archive du 5 avril 2020], sur ZDNet, 2 avril 2020 (consulté le 3 avril 2020).
5. Audrey Conklin, « 'Zoombombing' is an inside job? Meeting codes shared on Twitter », Fox Business,‎ 2 avril 2020 (lire en ligne, consulté le 2 avril 2020).
6. Rae Hodge, « Zoombombing: What it is and how you can prevent it in Zoom video chat » [archive du 21 avril 2020], sur CNET, 21 avril 2020.
7. Rebecca Brazzano, « Zoombombing, Sexting and Revenge Porn, Oh My! », sur Law.com, ALM, 10 juin 2020 (consulté le 16 juin 2020).
8. Roxanna Xia, Howard Blume et Luke Money, « USC, school districts getting ‘Zoom-bombed’ with racist taunts, porn as they transition to online meetings », sur Los Angeles Times, 25 mars 2020 (consulté le 11 avril 2020).
9. (en) « Were You Zoom-Bombed? Video of It May Now Be on YouTube, TikTok for All to See », sur PC Magazine (consulté le 3 avril 2020).
10. Elizabeth Redden, « 'Zoombombers' disrupt online classes with racist, pornographic content », sur Inside Higher Ed, 26 mars 2020 (consulté le 22 mai 2020).
11. Nick Anderson, « 'Zoombombing' disrupts online classes at University of Southern California », sur The Washington Post, 25 mars 2020 (consulté le 22 mai 2020).
12. (en-US) Zack Whittaker, « School quits video calls after naked man 'guessed' the meeting link », sur TechCrunch, 26 mars 2020 (consulté le 28 mars 2020).
13. Brooke Wolford, « 'Zoombombing' is the new way to troll online. Here's how to protect your video chat », sur Miami Herald, 25 mars 2020 (consulté le 30 mars 2020).
14. Lindsay McKenzie, « 'Zoombies' Take Over Online Classrooms », Inside Higher Ed, 3 avril 2020 (consulté le 2 mai 2020).
15. (en) Kristen Setera, « FBI Warns of Teleconferencing and Online Classroom Hijacking During COVID-19 Pandemic » [archive du 16 avril 2020], sur Federal Bureau of Investigation, 30 mars 2020 (consulté le 31 mars 2020) : « people turn to video-teleconferencing (VTC) platforms to stay connected in the wake of the COVID-19 crisis, reports of VTC hijacking (also called "Zoom-bombing") are emerging ».
16. Dakin Andone, « FBI warns video calls are getting hijacked. It's called 'Zoombombing' », sur CNN, 2 avril 2020 (consulté le 22 mai 2020).
17. (en) Danny Hakim et Natasha Singer, « New York Attorney General Looks Into Zoom's Privacy Practices », The New York Times,‎ 30 mars 2020 (lire en ligne, consulté le 31 mars 2020) :

    « Over the last few weeks, internet trolls have exploited a Zoom screen-sharing feature to hijack meetings and do things like interrupt educational sessions or post white supremacist messages to a webinar on anti-Semitism — a phenomenon called “Zoombombing.” [...] “We appreciate the New York attorney general’s engagement on these issues »

    .
18. Shannon Bond, « Senator Asks FTC To Investigate Zoom's 'Deceptive' Security Claims », sur National Public Radio, 3 avril 2020 (consulté le 12 avril 2020).
19. Brandon Vigliarolo, « Who has banned Zoom? Google, NASA, and more », sur TechRepublic, 9 avril 2020 (consulté le 11 avril 2020).
20. « Taiwan joins Canada in banning Zoom for government video conferencing », sur Canadian Broadcasting Corporation, 7 avril 2020 (consulté le 11 avril 2020).
21. Valerie Strauss, « School districts, including New York City’s, start banning Zoom because of online security issues », sur The Washington Post, 4 avril 2020 (consulté le 11 avril 2020).
22. (en) Jalelah Abu Baker, « MOE suspends use of Zoom in home-based learning following breaches involving obscene images », CNA,‎ 9 avril 2020 (lire en ligne, consulté le 10 avril 2020).
23. « Singapore bans teachers using Zoom after hackers post obscene images on screens », sur The Guardian, 11 avril 2020 (consulté le 11 avril 2020).
24. (en) hermesauto, « Singapore schools to resume use of Zoom for home-based learning with additional safeguards in place », sur The Straits Times, 13 avril 2020 (consulté le 13 avril 2020).
25. « After Zoom calls hacked with racial slurs and pornography, CEO admits "mistake" », sur CBS News, 2 avril 2020 (consulté le 12 avril 2020).
26. Kevin Billings, « Zoom Announces New Security Changes In Response To Hacks And 'Zoom-Bombing' Incidents », sur International Business Times, 8 avril 2020 (consulté le 12 avril 2020).
27. « How to Keep the Party Crashers from Crashing Your Zoom Event », sur Zoom Blog, 20 mars 2020 (consulté le 29 mars 2020).
28. Jay Peters, « Zoom adds new security and privacy measures to prevent Zoombombing », sur The Verge, 3 avril 2020 (consulté le 12 avril 2020).
29. Natasha Singer, « Zoom Rushes to Improve Privacy for Consumers Flooding Its Service », New York Times,‎ 8 avril 2020 (lire en ligne, consulté le 22 mai 2020).
30. « 90-Day Security Plan Progress Report: April 22 », Zoom Video Communications, 22 avril 2020 (consulté le 26 avril 2020).
31. « 'Zoombombing' targeted with new version of app », BBC News, 23 avril 2020 (consulté le 26 avril 2020).
32. (en) Kim Lyons, « Zoom has temporarily removed Giphy from its chat feature », sur The Verge, 25 mai 2020 (consulté le 26 mai 2020).
33. Jay Peters, « Zoom promises its first transparency report later this year », The Verge,‎ 1^er juillet 2020 (lire en ligne, consulté le 30 juillet 2020).
34. Danny Cruze, « Zoom released 100 new security features in 90 days », Live Mint,‎ 2 juillet 2020 (lire en ligne, consulté le 30 juillet 2020).
35. « Federal, State, and Local Law Enforcement Warn Against Teleconferencing Hacking During Coronavirus Pandemic »^{(Archive.org • Wikiwix • Archive.is • Google • Que faire ?)}, 16 avril 2020.
36. United States District Court for the Eastern District of Michigan, « Federal, State, and Local Law Enforcement Warn Against Teleconferencing Hacking During Coronavirus Pandemic », 3 avril 2020 (consulté le 11 avril 2020).
37. Jason Murdock, « Connecticut Teen Arrested for Allegedly 'Zoom Bombing' Virtual High School Lessons and Using 'Obscene Language and Gestures' », sur Newsweek, 9 avril 2020 (consulté le 11 avril 2020).
38. (en-US) « SF Man Traced From Zoom Streaming Activity Faces Child Porn Charges », sur NBC Bay Area (consulté le 18 mai 2020).
39. « FBI Issues Warning To Public After Reports Of ‘Zoombombing’ With Child Abuse Being Displayed During Virtual Meetings », sur WCCO-TV, Minneapolis, 20 mai 2020 (consulté le 16 juin 2020).
40. « More than 120 cases of child abuse Zoombombing in UK being investigated », sur The Irish Times, 18 mai 2020 (consulté le 16 juin 2020).
41. Kelly Tyko, « California church files class action lawsuit against Zoom after bible class 'Zoombombing' », USA Today, 15 mai 2020 (consulté le 17 mai 2020).
42. Alexandra Kelley, « California church sues Zoom over 'Zoombombing' pornography incident », The Hill, 14 mai 2020 (consulté le 17 mai 2020).

Voir aussi

Articles connexes

• Photobombing, une intrusion accidentelle ou intentionnelle d'une personne au premier plan ou à l'arrière-plan d'une photographie en train d'être prise
• Mail-bombing ou bombardement de messagerie ou bombarderie, une attaque visant à saturer une boîte de réception électronique par l'envoi en masse de messages par un programme automatisé
• Griefer, un joueur qui, dans un jeu vidéo multijoueur, irrite volontairement et harcèle les autres joueurs
• Troll, un individu qui vise à générer des polémiques

•   Portail d’Internet