L’affaire Zoom : quand la simplicité prévaut (trop) sur la sécurité

Zoom us SelfServiceIcon 512x512

Hier, l’affaire Zoom a éclaté au grand jour, avec la révélation de l’installation d’un serveur web tournant en loucedé sur tous les Mac sur lesquels cette application populaire de gestion de visioconférence est installée (et elle n’est à priori pas la seule à agir ainsi).

Tout ça pour quoi ? Pour éviter un clic de plus par l’utilisateur dans Safari quand ce dernier ouvre une conférence, car la page en question veut demander à ouvrir une autre application, ce que Safari n’aime pas vraiment (en fait c’est Apple qui n’aime pas ça, mais du coup Safari non plus).

Répétez cela avec moi :

Pour contourner une fonction de sécurité de macOS, un éditeur installe un serveur web local sur un Mac.

Alors, je veux bien que parfois, les alertes de macOS soient un peu pénibles (et ça ne va pas aller en s’arrangeant), mais personnellement, je trouve le comportement du développer absolument extraordinaire de désinvolture en disant « c’est pas si grave ». Ben si, un peu quand même…

Mais il n’y a pas que ça. J’ai du coup profité de l’occasion pour installer Zoom sur une machine de test, avec le package fourni par défaut sur le site de Zoom. Et là… surprises. En pagaille.

Le package se lance sans alerte particulière, puis on a une fenêtre d’alerte comme quoi le package veut lancer un script de vérification, ce qui peut sembler logique.

Sauf que.

Si vous cliquez sur Continuer, le logiciel d’installation… quitte. Directement. Pas de dialogue supplémentaire, rien.

Zoom Installer

L’application Zoom est déjà dans votre dossier /Applications. Vous n’avez pas accepté de licence, rien. Pas vu de Lisez-moi. Rien. Pas d’acceptation de licence, que dalle. Même pas besoin de taper votre mot de passe administrateur. Le logiciel s’installe et se lance tout seul. J’ai répété plusieurs fois le processus, sur différents Mac, même résultat.

Et effectivement, le package d’installation, au lieu de faire ce qu’il devrait faire, à savoir vous inviter à faire quelques clics, est juste tué sans condition, car le script de pré-installation…est devenu un script d’installation en force.

Ah, et au passage, il va aussi télécharger un fichier MacRetinaRes.zip qu’il va coller… quelque part. Aucune info.

Et comme l’application d’installation a été tuée direct… pas de trace de l’installation dans les reçus d’installation du système. C’est juste complètement n’importe quoi.

Bref, le logiciel d’installation de Zoom fait pas mal de trucs assez dégueulasses d’un point de vue déploiement. Alors qu’il aurait été tout aussi simple de proposer d’installer l’application à partir d’un DMG téléchargé, le mettre dans /Applications à la main et zou.

Mais il y a encore mieux (ou pire, c’est selon).

Zoom propose un package pour les administrateurs. C’est sur leur site, en haut à droite. Et le package d’installation IT est… tout à fait standard. Il installe proprement, il ne tue rien, bref… c’est presque propre.

Mais pourquoi gérer deux packages différents, dans ce cas, bon sang ? Pourquoi se compliquer ainsi la vie ?

La réponse pour Zoom semble finalement assez simple à comprendre :

Pour éviter toute friction entre la visioconférence et l’utilisateur.

D’un point de vue technique, ce que fait Zoom (et ils le disent), c’est vouloir limiter le nombre de clics entre le moment où une conférence est mise en route et un lancement de l’application est effectué, avec un téléchargement allégé. Ce qui ne part pas d’une mauvaise intention : les employés dans les entreprises perdent souvent beaucoup de temps à lancer une conférence, c’est souvent un moment de stress. Zoom essaye de limiter au maximum la friction1 pour éviter ce stress.

Malheureusement, à partir du moment où on contourne des sécurités fondamentales d’un système d’exploitation pour supprimer des clics, le développeur fait à mon goût une grave erreur. On ne peut pas dire « je vais faire sauter la serrure de votre porte, car le jour où un livreur doit déposer un colis chez vous, ça pourrait être gênant si la porte est fermée ».

La sécurité informatique n’est pas une option de nos jours, et qu’une société comme Zoom se permette de contourner ces sécurités est dangereux. Mieux vaut éduquer les utilisateurs que faire n’importe quoi sur un ordinateur, au risque de perdre la confiance de ses clients, actuels ou potentiels.

Zoom est revenu en arrière, a fait amende honorable (après avoir dit quand même au départ « ouais, OSEF »), mais les dégâts sont déjà faits en terme d’image, et ils mettront du temps à s’estomper.

  1. coucou Mourad !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.