Quel logiciel de visioconférence utiliser ?

La visioconférence s'est imposée dans la vie courante depuis le premier confinement français lié à la pandémie de COVID-19, et est devenue une pratique très banale. De très nombreux logiciels existent mais tous ne sont pas recommandables. La plupart ruinent la vie privée et parmi ceux-ci, certains peuvent être qualifiés de malveillants. À contrario, certains très minoritaires ont une étique qui respecte la vie privée (logiciels libres), et parmi ceux-ci, certains sont recommandés ou certifiés par l'état français.

Voir aussi la page : Visioconférence facile avec Jitsi Meet

Table des matières :

Les premiers dangers de l'application Zoom tels qu'ils étaient identifiés au 29/03/2020 :
Interview de l'avocat spécialisé Sébastien Fanti, préposé valaisan à la protection des données
Date : 29/03/2020 – Durée : 4'17" – Réalisation : RTS pour l'émission Forum1)
(Écouter aussi : 29/03/2020: rts.ch > Forum : L'application de visioconférence Zoom fait un carton, mais n'est pas sans risque)

(À la place de Zoom, Sébastien Fanti conseille d'utiliser Jitsi ou bien whereby.com (société norvégienne) dont l'offre gratuite est limitée à 4 participants)

À lire également sur zoom : 16/04/2021: korben.info > Pourquoi désinstaller Zoom ? : […] Vous l'aurez compris, c'est de la saloperie. Après, on est souvent forcé d'utiliser Zoom parce que notre employeur l'exige ou parce que nos amis sont trop noobs pour savoir utiliser autre chose. Dans ce cas, je vous recommande de passer exclusivement par l'application mobile. Ça vous évite au moins d'installer le client sur votre PC ou votre Mac. Après si c'est trop tard, et bien pas de stress. Car il existe un outil open source qui s'appelle Zoom Deleter et qui s'installe sur macOS ou Windows, et qui une fois lancé, possède 2 fonctions : Désinstaller le client Zoom ; Empêcher une installation future de ce client Zoom

Attention à ne pas utiliser de logiciel malveillant !

Les logiciels de visioconférence listés ci-dessous ont été clairement identifiés comme des logiciels malveillants par la communauté des chercheurs en sécurité informatique. Ils ne doivent en aucun cas être installés et utilisés !

Logiciel / Service Critiques
House Party (en)Vol de données (contenu audiovisuel) avec le consentement implicite inscrit dans les clauses que personne ne lit. Absence de message pour recueillir le consentement explicite = violation du RGPD européen
ZoomFondée en 2011 et critiquée par les chercheurs en sécurité depuis le 8 mars 20192), la société Zoom Video Communications manque de professionnalisme et/ou méprise ouvertement les utilisateurs de ses produits. La place manque ici pour faire état de la longue liste de failles de sécurité du logiciel découvertes depuis mars 2019. Dans la liste des préjudices diagnostiqués début 2020 figurent par exemple le non chiffrement des données audiovisuelles transitant entres les ordinateurs et les serveurs (= amateurisme et mépris des utilisateurs) ; l'installation d'un programme permettant le contrôle total à distance de l'ordinateur même après désinstallation (porte dérobée = mépris des utilisateurs pouvant déboucher sur leur mise en danger) ; l'exfiltration silencieuse des données provenant du micro et de la webcam (= acte cybercrimel avéré)…

De surcroît, la malveillance intrinsèque du logiciel officiel Zoom a encouragé les cybercriminels professionnels à créer une multitude de faux sites (hameçonnage) et de fausses applications Zoom au début de l'année 20203).

Début avril 2020 juste après l'installation par une cliente d'un logiciel ou d'une copie non authentique de Zoom, j'ai pu constater que le contrôleur de la webcam de son ordinateur portable ACER Aspire 7740G avait été reprogrammé, ce qui rendait la webcam inutilisable (sauf bien-sûr par le programme espion installé par Zoom).

Pour résumer, il faut considérer que le logiciel populaire Zoom a été un cheval de Troie pendant une période beaucoup plus longue que le célèbre logiciel CCleaner de Piriform, filiale de la société Avast Software4). Critiqué pour ses énormes failles de sécurités depuis le 8 mars 20195), le 31 mars 2020, la communauté des chercheurs en sécurité informatique considéraient encore Zoom comme un logiciel aussi malveillant qu'un virus informatique6). Tant d'erreurs critiques de sécurité et de confidentialité, de surcroît redondantes pendant plus d'un an, de la part d'une société informatique capable de développer des outils de visioconférence aussi performants (si l'on en croit le développeur David Heinemeier Hansson7)), ne peut être qu'une malveillance intentionnelle. Étant donné que Zoom a fait transiter des flux vidéos non chiffrés par un serveur situé en Chine, il ne serait pas surprenant d'apprendre que l'entreprise a été piratée pendant des mois par les services de renseignement chinois, comme cela est arrivé à Avast8).

Plus d'informations sur les logiciels cités ci-dessus :
Voir dans l'annexe en bas de page le chapitre Les problèmes posés par les logiciels de visioconférence dans la presse.

Logiciels populaires problématiques pour la vie privée

Par définition de la Free Software Foundation, tout logiciel privateur (de liberté), – c'est à dire qui n'est pas un logiciel libre –, est un logiciel qui viole au-moins une liberté fondamentale de l'utilisateur, celle d'avoir le contrôle total de l'outil logiciel, et non le contraire.

Logiciel / service Commentaire
Microsoft SkypeLogiciel privateur (de liberté).
La gratuité de tous ces logiciels est financée par la récolte, la monétisation et la revente des données personnelles de leurs utilisateurs à leur insu.

Il est désormais banal d'affirmer que l'utilisateur de ces services "gratuits" est le produit, revendu très chèrement aux clients de ces sociétés, dont certaines sont cotées en bourse.

Important !
Tout transfert sur le réseau de l'image d'un visage par un logiciel de ces sociétés ou d'une société de droit états-unien (CLOUD Act) est susceptible de créer automatiquement une empreinte biométrique qui sera stockée dans les bases de données des autorités états-uniennes, australiennes, canadiennes, néo-zélandaises et britanniques (traité UKUSA des "Five Eyes") et éventuellement aussi sur les disques durs plus ou moins piratables des partenaires commerciaux de ces entreprises…

L'empreinte biométrique vocale est une donnée également valorisée. (Par ailleurs, les technologies du Deepfake permettant d'usurper facilement les identités en vidéo sont en plein développement).

Le niveau de certitude de l'identité correspondant au visage et à la voix transmise par ces logiciels est assez élevé, compte-tenu que chaque utilisateur consent lui-même à fournir son adresse email personnelle. En d'autres termes, si vous utilisez ces logiciels en tout liberté, vous consentez implicitement à l’espionnage de masse, et il serait par exemple absurde que vous critiquiez l'espionnage de masse opéré par la Chine (dans nos pays, les lois peuvent changer presqu'aussi rapidement que les gouvernements. Cependant, les données collectées restent…)
Microsoft Teams
Google Hangouts
Google Duo
Apple FaceTime
Facebook Messenger
Facebook WhatsApp
Viber

Par ailleurs, certains logiciels réputés sûrs et populaires dans les communautés numériques ne sont pas si sûrs qu'ils en ont l'air :

  • Logiciel libre de communication chiffrée Signal : Recommandé par The Guardian et Edward Snowden qui est un hacker open source, mais proscrit par les hackers logiciel libre en raison de sa dépendance à Google Cloud Messaging (GCM) (cf. CLOUD Act)9). Wikipedia précise : "En mai 2016, le développeur principal de Signal a demandé à LibreSignal, un fork qui avait enlevé les dépendances à GCM, de ne pas utiliser les serveurs de Signal en son nom. À la suite de ça, le fork a été abandonné." C'est pourquoi le magasin de logiciels libres pour smartphones F-Droid annonce : "Versions - We don't have the current version of this app. (Check mode: None) (Auto-update mode: None) - 4.2.3 - We can't build this version: The build for this version was manually disabled. Reason: includes proprietary Google Play Services GMS libs10)"
    –> Conseil : Ne pas utiliser Signal car il envoie les données au service de stockage cloud Google qui n'a rien de libre
  • Wire : Logiciel payant recommandé en 2e choix après Signal par Edward Snowden sur France Inter le 16 septembre 2019 (d'après la page Wikipedia de Signal. Mais la fiche Wikipida de Wire indique : "En 2019 Wire est devenu une entreprise américaine donc soumise au CLOUD Act".
    Autres problèmes : cf. fr.wikipedia.org > Wire_(logiciel)#Sécurité
    –> Conseil : Ne pas utiliser Wire car ses méta-données (ou plus) sont transparentes aux services de renseignements états-uniens

Logiciels libres sécurisés et respectueux de la vie privée

Retenez que les meilleurs logiciels de communication instantanées sont les rares logiciels qui intègrent simultanément les 3 caractéristiques suivantes :

  1. Logiciel libre à 100% côté serveur (non soumis au CLOUD Act), libre à 100% côté client, et avec un ou des protocoles de communication 100% ouverts
  2. Communication chiffrée avec un protocole moderne, ouvert et approuvé par la communauté des chercheurs en sécurité informatique
  3. Communication non centralisée : le logiciel n'impose pas l'utilisation d'un serveur en particulier (libre choix), ou mieux encore : le logiciel utilise un protocole de communication 100% décentralisé comme Matrix (qui est notamment utilisé par l'état français, cf. chapitre Quelques logiciels de visioconférence sécurisés recommandés par les autorités ci-dessous)

Un logiciel libre est un logiciel qui donne à l'utilisateur la liberté de l'utiliser, de l'étudier, de le modifier et d'en redistribuer des copies, modifiées ou non11). Grâce à ces libertés, l'utilisateur dispose du contrôle total sur l'outil logiciel qui par conséquent, ne peut pas être malveillant par conception (espionnage, porte dérobée, etc.).
Note : Les logiciels qui sont couramment qualifiés d'open source ne sont pas forcément des logiciels libres12).

À l'inverse, les logiciels privateurs (de liberté) sont souvent créés par des programmeurs ou des entreprises qui ont le culte du secret et exercent un contrôle sur l'utilisateur. Celui-ci qui n'a aucune garantie éthique vis-à-vis de ces outils privateurs. Exemple : le logiciel du serveur du célèbre service de messagerie chiffrée Telegram.

Les logiciels libres sont conçus par des hackers, c'est-à-dire par des personnes bienveillantes qui ont le souci de créer et d'améliorer les biens communs numériques dans la transparence et le partage (ne pas confondre avec les cybercriminels : plus d'information sur ma page Qu'est-ce qu'un hacker ?).

Logiciel / service Commentaire
JitsiDans sa déclinaison basique, Jitsi est un service (page) web et application smartphone de visioconférence à 2 ou plus. Attention ! La plupart des serveurs Jitsi sont gérés par des petites associations ou des particuliers. Ils ne sont pas conçus pour supporter des visioconférences avec beaucoup de participants. En France, la visioconférence en ligne Jitsi est notamment fournie par un réseau de services numériques décentralisés de proximité sur le modèle de l'agriculture de proximité appelé CHATON (Collectif d'Hébergeurs Alternatifs, Transparents, Ouverts, Neutres et Solidaires). La page web entraide.chatons.org

Né en 2003 sous le nom "SIP Communicator", le projet Jitsi s'est ramifié en différents outils dont : Jitsi Meet (serveurs de video conference), JitsiVideobridge (WebRTC Selective Forwarding Unit), Jigasi (programme côté serveur qui permet la liaison de logiciels clients SIP à des conférences JitMeet), lib-jitsi-meet (un programme JavaScript API de bas niveau pour Jitsi Meet), Jidesha (une extension Chrome et Firefox pour Jitsi Meet, Jitsi (un communicateur chat, audio et video qui supporte les protocoles SIP, XMPP/Jabber, AIM/ICQ, et IRC).
Site officiel : jitsi.org

Voir aussi la page Visioconférence facile avec Jitsi Meet.
RiotLogiciel libre basé sur le protocole de communication chiffré et décentralisé Matrix, interopérable avec d'autres protocoles de messagerie comme IRC, Slack, Telegram, etc.

Site officiel : about.riot.im

Quelques logiciels de visioconférence sécurisés recommandés par les autorités

Logiciel / service Commentaire
Tixeo : tixeo.com
(essai gratuit pendant un mois)		Services et logiciels qualifiés selon les critères de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) et du Secrétariat général de la Défense et de la Sécurité nationale (SGDSN)13) et recommandés par l'état français comme appoint aux services de visioconférence pendant la période de confinement de 2020 en France14).
Visioconférence pour télémédecine : tixeocare.com
youtube.com > Tixeo > TixeoFusion
youtube.com > Tixeo > Comment protéger la confidentialité de vos réunions en ligne ?
Citadel (Thales) : citadel.teamService et logiciel de messagerie instantanée texte, voix, vidéo et fichiers du groupe Thales réservé aux professionnels 15).

Citadel est un projet distinct et concurrent de Tchap (tchap.fr), la messagerie de la Direction Interministérielle du Numérique et du Système d’Information et de Communication de l’état français (DINSIC). Elles sont toutes les deux basées sur le logiciel libre Riot lui-même basé sur le protocole de communication sécurisé et ouvert Matrix 16).

Un article de 01net.com17) indique que contrairement à Tchap, une partie de Citadel relève des logiciels privateurs.

Sur son site web, Thalès indique que ses logiciels de communications sécurisés sont utilisés par les ambassades, par l'OTAN, etc.
Logiciel libre Jitsi sur les serveurs de l'état françaisL’État met à la disposition de tous ses agents un service de webconférence interministériel pour favoriser la coopération des équipes et le travail à distance18) :
Accès web : webconf.numerique.gouv.fr
Logiciel libre TchapBasé sur le sur le logiciel libre Riot lui-même basé sur le protocole de communication sécurisé et ouvert Matrix, "Tchap est une solution de messagerie instantanée et sécurisée dédiée aux agents de l’État souhaitant communiquer entre eux et échanger des informations sensibles depuis leur ordinateur."
Plus d'informations : tchap.fr
Logiciel libre Jitsi sur les serveurs des centres de données scaleway.com du groupe Iliad (Free)Ces serveurs étant situés en France, ils sont recommandés par l'état français comme appoints gratuits aux services de visioconférence pendant les périodes de confinements liés à la pandémie de Covid-19 en France19).

Texte affiché sur webconf.numerique.gouv.fr en mars-avril 2020 :
"Ensemble contre la Covid-19 :
Dans ce contexte de crise, nous mettons à votre disposition une partie de nos infrastructures sur lesquelles nous avons déployé la solution de visioconférence Jitsi. Utilisez cette solution pour garder le contact avec vos proches, maintenir votre activité, échanger avec vos clients, rencontrer vos patients ou préparer vos examens avec d’autres étudiants."

Accès web 03-04/2020 "Ensemble contre la COVID-19" : ensemble.scaleway.com
Accès web 03-04/2020 pour enseignants et élèves : educnat-ensemble.scaleway.com

Annexe

Les problèmes posés par les logiciels de visioconférence dans la presse

1)
Licence : Tous droits réservés RTS Radio Télévision Suisse (Autorisation : article 4.2 "Téléchargement et podcasting des sons radio" des Conditions Générales)
Page officielle de l'émission : 29/03/2020: rts.ch > Forum : Les dangers de l'application Zoom : Interview de l'avocat spécialisé Sébastien Fanti, préposé valaisan à la protection des données
2) , 5)
(08/07/2019: medium.com > Zoom Zero Day: 4+ Million Webcams & maybe an RCE? Just get them to visit your website!
3)
06/04/2020: zdnet.fr > Cybersécurité : les pirates profitent de la popularité de Zoom pour leurs campagnes de phishing :
Les cybercriminels tentent de tromper les utilisateurs de Zoom, alors que la plateforme de vidéoconférence gagne en popularité depuis le confinement et la généralisation du télétravail…
4) , 8)
6)
31/03/2020: reddit.com > r/privacy > Zoom Appears To Use Actual Malware Techniques Upon Installation (article approuvé à 96%).
7)
31/03/2020: twitter.com > @dhh : "What pains me about Zoom being such sleazeballs when it comes to both security and privacy is just how unnecessary it is. They have good fundamental tech! But as the skeletons keep falling out of the closet, it’s clear that the organization is fundamentally corrupt."
9) , 12)
Pour la différence subtile entre logiciel open source et logiciel libre voir :
10)
https://f-droid.org/wiki/page/org.thoughtcrime.securesms
11)
Les 4 règles fondamentales du logiciel libre :
  • Liberté 0 : Liberté d'exécuter le programme, pour tous les usages
  • Liberté 1 : Liberté d'étudier le fonctionnement du programme, et de l'adapter à ses besoins
  • Liberté 2 : Liberté de redistribuer des copies, donc d'aider son voisin
  • Liberté 3 : Liberté d'améliorer le programme et de publier des améliorations, pour en faire profiter toute la communauté
13)
14)
Source : webconf.numerique.gouv.fr
15)
16)
10/03/2019: tchap.fr > http://www.tchap.fr/thales-tchap/Quel est le lien entre Thalès et la messagerie gouvernementale Tchap ?
17)
27/04/2019: 01net.com > Dans les coulisses de Tchap, la messagerie sécurisée de l’État français
18)
Source : 10/01/2020: numerique.gouv.fr > Webconférence de l’État
19)
Source : webconf.numerique.gouv.fr
Dernière modification :02/08/2023 02:00
CC Attribution 4.0 International