Ouvrir le menu principal

MacGeneration

Recherche

Le client macOS de Zoom ne respecte toujours aucune bonne pratique

Nicolas Furno

mardi 31 mars 2020 à 09:20 • 57

Logiciels

À l’heure du confinement, tous les services de visioconférence ont le vent en poupe, mais c’est clairement Zoom qui sort son épingle du jeu. Jusque-là surtout utilisé dans les entreprises, ce service a trouvé de nombreux adeptes chez les particuliers. Il faut dire qu’il a plusieurs avantages : il ne nécessite pas de compte, il est très simple à utiliser et il offre quelques fonctions amusantes, comme la possibilité de changer le fond derrière soi.

La webcam d’un ancien MacBook Pro (image gordon mei (CC BY-NC-ND 2.0))

Mais Zoom, c’est aussi cette app qui permettait d’activer la webcam d’un Mac à distance sans votre autorisation. Cette faille de sécurité a été rapidement corrigée dans la foulée, y compris par Apple depuis ses serveurs, mais l’app n’est pas un bon élève sur le Mac pour autant. Pour preuve, son installation ne respecte absolument aucune bonne pratique de macOS, puisque tout est fait à partir du script chargé en théorie de vérifier si une app peut être installée.

Pour installer le client macOS de Zoom, vous ne téléchargez pas directement une app, mais un fichier pkg qui va servir à installer les ressources nécessaires. C’est une pratique courante et parfaitement légitime, surtout pour les apps les plus complexes. Pour installer l’app, il faut alors ouvrir ce fichier et suivre les instructions. La première étape vérifie que vous pouvez effectuer l’installation, il s’agit en général essentiellement de comparer la version installée de macOS avec les versions compatibles avec l’app.

Cette étape repose sur un script qui devrait être assez simple, puisque l’installation des ressources est effectuée dans la suite du processus. Pas pour Zoom, qui a choisi de tout placer dans ce tout premier script de vérification. Long de 466 lignes, il effectue l’intégralité des opérations d’installation de toutes les ressources nécessaires et ferme la fenêtre d’installation de macOS dans la foulée. Cette pratique n’est pas mauvaise en soi, et d’ailleurs le script révèle que Zoom se contente d’installer l’app comme le ferait l’assistant dédié aux paquets de macOS.

Ce script est censé uniquement vérifier si Zoom peut être installé sur un Mac. Comme en témoigne sa longueur (plus de 460 lignes), il fait en vérité bien plus que cela, puisque c’est lui qui se charge de tout installer (image @cabel).

Le plus gênant, c’est que le processus se fait sans l’aval de l’utilisateur. En temps normal, une fois les vérifications effectuées, vous pouvez interrompre l’installation, jeter le fichier pkg et il ne se sera rien passé. Avec Zoom, c’est déjà trop tard, tout est installé sur votre Mac. Plus gênant, le script demande le mot de passe de la session et il pourrait faire absolument tout et n’importe quoi dans la foulée, ce qui est la porte ouverte pour des failles de sécurité. Au passage, une installation propre est possible avec quelques commandes dans le terminal.

Pour ne rien arranger, le script est bourré de fautes et l’ensemble ressemble plus au travail bâclé d’un amateur qu’à un outil professionnel. Le travail est fait malgré tout et ce n’est pas un problème en soi, mais comme le souligne le blogueur John Gruber, cela prouve à nouveau que Zoom n’a pas une attitude très sérieuse en matière de sécurité des données. Ce n’est pas une entreprise malveillante, mais ses apps ne sont pas développées avec le sérieux nécessaire pour un service si populaire et qui manipule des données aussi sensibles qu’un flux vidéo de votre domicile.

Si vous avez vraiment besoin de Zoom, John Gruber recommande ainsi soit de passer par la version web du service, soit d’utiliser la version iOS. Certes, celle-ci vient de faire la polémique parce qu’elle envoyait inutilement des données à Facebook, prouvant une fois de plus que la sécurité des données personnelles est vraiment prise à la légère par l’entreprise. Mais il y a au moins la validation de l’App Store et le processus d’installation imposé par Apple pour éviter les dérives.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Orange commence à démanteler son réseau ADSL en France

12:37

• 35


Magazine des 25 ans : plus que quelques jours pour précommander votre exemplaire

10:30

• 8


2,35 milliards d’appareils Apple actifs dans le monde

10:20

• 27


Comment empêcher son MacBook de démarrer automatiquement à l'ouverture de l'écran ou au branchement sur secteur

07:37

• 48


Résultats Apple T1 2025 : l'iPad et le Mac à la fête, l'iPhone en difficulté

30/01/2025 à 23:10

• 95


Le Pentagone bloque l’accès à DeepSeek à ses employés, après avoir constaté de nombreux accès au chatbot

30/01/2025 à 21:45

• 22


Payer son ticket avec sa carte bancaire dans les transports parisiens, ce n’est pas pour demain

30/01/2025 à 21:29

• 67


Le fondateur de TSMC explique pourquoi Apple a abandonné Intel

30/01/2025 à 15:01

• 31


Meta accepte de payer 25 millions de dollars à Donald Trump pour avoir banni ses comptes en 2021

30/01/2025 à 12:17

• 98


Promo : l'Apple Watch Series 10 Noir de Jais à 377 € (-72 €) 🆕

30/01/2025 à 09:19

• 12


Promo sur des Apple Pencil, Magic Mouse et Magic Keyboard

30/01/2025 à 07:50

• 2


Aperty : l'allié parfait des photographes de portraits professionnels et semi-professionnels est là 📍

29/01/2025 à 23:33


Des actionnaires mettent en doute la vertu d’Apple concernant les données d’entraînement de son IA

29/01/2025 à 21:30

• 17


Comment faire tourner DeepSeek-R1 (ou un autre LLM) sur votre Mac

29/01/2025 à 17:23

• 15


Promo : le Mac mini M2 Pro 16/512 Go à 770 € 🆕

29/01/2025 à 17:00

• 20


Promo : la console portable ROG Ally d’Asus à seulement 470 €

29/01/2025 à 16:30

• 16