/news/coronavirus

De la télémédecine avec une application largement critiquée

Hugo Joncas | Bureau d'enquête

Le CUSM (on peut apercevoir leur site Glen sur la photo) vient de renouveler sa licence pour utiliser la controversée application Zoom en télémédecine.

Photo d’archives

Le CUSM (on peut apercevoir leur site Glen sur la photo) vient de renouveler sa licence pour utiliser la controversée application Zoom en télémédecine.

Québec recommande à ses établissements de santé d’utiliser l’application de vidéoconférence Zoom pour des consultations en ces temps de confinement. La plateforme fait pourtant face à une avalanche de critiques pour la mauvaise protection de la vie privée.  

Les centres universitaires de santé de l’Estrie et de l’Ouest de l’Île de Montréal viennent de renouveler leurs licences pour utiliser le logiciel californien. En fait, Zoom TeleHealth fait partie des trois applications que recommande le Ministère pour faire de la télémédecine dans tout le réseau.  

L’Ordre des psychologues la suggère aussi à ses membres pour communiquer avec ses patients.  

Aux États-Unis, de grandes organisations larguent pourtant la plateforme les unes après les autres par crainte de voir leurs discussions confidentielles compromises par Zoom : la NASA, le fabriquant de fusées SpaceX, des écoles...  

Vendredi dernier, un centre de recherche ontarien publiait le dernier d’une série d’articles dévastateurs sur la plateforme.  

Le Citizen Lab de l’Université de Toronto explique comment il a lui-même réussi à déchiffrer une communication vidéo qu’il avait initiée avec un interlocuteur aux États-Unis.  

« Étant donné ces problèmes de sécurité troublants, nous déconseillons l’utilisation de Zoom en ce moment pour tout usage secret ou qui demande un haut degré de confidentialité, y compris les fournisseurs de soins de santé qui manipulent de l’information sensible sur les patients », écrivent Bill Marczak et John Scott-Railton, du Citizen Lab.  

En plus de la piètre encryption des données, les chercheurs notent aussi que Zoom a dû communiquer avec un serveur en Chine pour fournir le service pendant leur expérience. La firme californienne fait aussi réaliser dans ce pays une grande partie de ses travaux de programmation.  

« Cet arrangement pourrait rendre Zoom vulnérable à la pression des autorités chinoises », écrit Citizen Lab.  

C’est loin d’être le seul problème avec la plateforme : fausse représentation sur la confidentialité des communications, partage de renseignements sur les utilisateurs avec Facebook et LinkedIn, mauvaise protection contre les intrusions dans les vidéoconférences...  

«Désolé»  

Le 1er avril dernier, le PDG Eric Yuan a lui-même fait son mea culpa et s’est « excusé » pour la « confusion causée » quant aux méthodes de protection des données qu’utilise Zoom.  

La firme est accusée d’avoir prétendu faussement que les images et le son de ses utilisateurs étaient cryptés « de bout en bout » (end-to-end encyption), donc que personne ne peut les déchiffrer entre les deux. Or ce n’est pas le cas.  

« Nous reconnaissons que nous avons échoué à satisfaire les attentes de la communauté en matière de vie privée et de sécurité – et les nôtres. Pour cette raison, je suis profondément désolé », écrit-il dans son blogue.  

Le fondateur de Zoom n’apporte cependant aucune réponse technique aux critiques formulées sur ses mesures de protection des données.  

Le Ministère garde le cap  

Rien pour ébranler la confiance de Québec envers Zoom.  

Le ministère de la Santé refuse d’accorder une entrevue téléphonique à notre Bureau d’enquête à ce sujet.  

Dans un courriel, une porte-parole souligne toutefois que la version de la plateforme autorisée dans le réseau québécois est Zoom TeleHealth et qu’elle a été configurée « pour assurer la protection des données personnelles ».  

« Le Ministère a opté pour une licence spécifique à la santé basée au Canada, donc il ne s’agirait pas des versions mentionnées dans les précédents articles », écrit Marie-Claude Lacasse.  

Elle assure également qu’une équipe de sécurité et des « spécialistes de la télémédecine » ont interrogé leur fournisseur au sujet des articles sur Zoom.  

« Les échanges nous ont permis de comprendre que les problématiques citées dans les journaux n’étaient pas applicables à la licence santé et aux infrastructures canadiennes utilisées », dit la porte-parole.  

Le Ministère n’a toutefois pas expliqué pourquoi lui non plus.  

Le choix du gouvernement fait sourciller l’expert en sécurité de l’information Steve Waterhouse.  

« Pour l’instant, poursuivre l’utilisation de Zoom dans le réseau de la santé, c’est mettre à risque les données personnelles, dit-il. À moins que le gouvernement ne soit capable de démontrer que l’infrastructure est à la hauteur. »  

Selon les experts, c’est d’autant plus préoccupant que les clients pour d’éventuelles informations dérobées abondent dans le monde du courtage d’assurances, des produits financiers et de l’industrie médicale par exemple. « Il y a un intérêt croissant pour les données de santé », dit le consultant en cybersécurité Jean Loup Le Roux.  

Au Ministère de démontrer qu’elles ne sont pas à la portée du premier pirate venu.  

Zoom n’a pas répondu à nos questions se contentant de nous diriger vers des articles de bloque qui n’y répondaient pas.