Ouvrir le menu principal

MacGeneration

Recherche

Le client macOS de Zoom ne respecte toujours aucune bonne pratique

Nicolas Furno

mardi 31 mars 2020 à 09:20 • 57

Logiciels

À l’heure du confinement, tous les services de visioconférence ont le vent en poupe, mais c’est clairement Zoom qui sort son épingle du jeu. Jusque-là surtout utilisé dans les entreprises, ce service a trouvé de nombreux adeptes chez les particuliers. Il faut dire qu’il a plusieurs avantages : il ne nécessite pas de compte, il est très simple à utiliser et il offre quelques fonctions amusantes, comme la possibilité de changer le fond derrière soi.

La webcam d’un ancien MacBook Pro (image gordon mei (CC BY-NC-ND 2.0))

Mais Zoom, c’est aussi cette app qui permettait d’activer la webcam d’un Mac à distance sans votre autorisation. Cette faille de sécurité a été rapidement corrigée dans la foulée, y compris par Apple depuis ses serveurs, mais l’app n’est pas un bon élève sur le Mac pour autant. Pour preuve, son installation ne respecte absolument aucune bonne pratique de macOS, puisque tout est fait à partir du script chargé en théorie de vérifier si une app peut être installée.

Pour installer le client macOS de Zoom, vous ne téléchargez pas directement une app, mais un fichier pkg qui va servir à installer les ressources nécessaires. C’est une pratique courante et parfaitement légitime, surtout pour les apps les plus complexes. Pour installer l’app, il faut alors ouvrir ce fichier et suivre les instructions. La première étape vérifie que vous pouvez effectuer l’installation, il s’agit en général essentiellement de comparer la version installée de macOS avec les versions compatibles avec l’app.

Cette étape repose sur un script qui devrait être assez simple, puisque l’installation des ressources est effectuée dans la suite du processus. Pas pour Zoom, qui a choisi de tout placer dans ce tout premier script de vérification. Long de 466 lignes, il effectue l’intégralité des opérations d’installation de toutes les ressources nécessaires et ferme la fenêtre d’installation de macOS dans la foulée. Cette pratique n’est pas mauvaise en soi, et d’ailleurs le script révèle que Zoom se contente d’installer l’app comme le ferait l’assistant dédié aux paquets de macOS.

Ce script est censé uniquement vérifier si Zoom peut être installé sur un Mac. Comme en témoigne sa longueur (plus de 460 lignes), il fait en vérité bien plus que cela, puisque c’est lui qui se charge de tout installer (image @cabel).

Le plus gênant, c’est que le processus se fait sans l’aval de l’utilisateur. En temps normal, une fois les vérifications effectuées, vous pouvez interrompre l’installation, jeter le fichier pkg et il ne se sera rien passé. Avec Zoom, c’est déjà trop tard, tout est installé sur votre Mac. Plus gênant, le script demande le mot de passe de la session et il pourrait faire absolument tout et n’importe quoi dans la foulée, ce qui est la porte ouverte pour des failles de sécurité. Au passage, une installation propre est possible avec quelques commandes dans le terminal.

Pour ne rien arranger, le script est bourré de fautes et l’ensemble ressemble plus au travail bâclé d’un amateur qu’à un outil professionnel. Le travail est fait malgré tout et ce n’est pas un problème en soi, mais comme le souligne le blogueur John Gruber, cela prouve à nouveau que Zoom n’a pas une attitude très sérieuse en matière de sécurité des données. Ce n’est pas une entreprise malveillante, mais ses apps ne sont pas développées avec le sérieux nécessaire pour un service si populaire et qui manipule des données aussi sensibles qu’un flux vidéo de votre domicile.

Si vous avez vraiment besoin de Zoom, John Gruber recommande ainsi soit de passer par la version web du service, soit d’utiliser la version iOS. Certes, celle-ci vient de faire la polémique parce qu’elle envoyait inutilement des données à Facebook, prouvant une fois de plus que la sécurité des données personnelles est vraiment prise à la légère par l’entreprise. Mais il y a au moins la validation de l’App Store et le processus d’installation imposé par Apple pour éviter les dérives.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Refurb : jusqu'à -370 € sur l'Apple Studio Display 5K pour Mac mini ou MacBook

07:13

• 0


Soutenez MacGeneration en commandant notre magazine collector

04/11/2024 à 21:02

• 74


Apple a ajouté une drôle de touche à son dernier clavier : elle date de 1994

04/11/2024 à 21:00

• 11


Deuxième fournée de bêtas pour iOS 18.2 pour tous les iPhone ainsi que pour macOS 15.2

04/11/2024 à 19:34


Publicité : Apple Intelligence sauve les rêveurs et les râleurs en entreprise

04/11/2024 à 15:35

• 28


Windows 10 : les particuliers pourront payer 30 $ pour un an de mises à jour de sécurité

04/11/2024 à 15:06

• 44


Microsoft repousse encore la fameuse fonction Recall des PC Copilot+

04/11/2024 à 12:15

• 31


Incogni protège désormais jusqu'à 3 adresses e-mail, profitez de 50 % de réduction sur l'abonnement 📍

04/11/2024 à 09:57


Où trouver des iPhone 16 Pro (Max) en stock ! 🆕

04/11/2024 à 09:57


Un « Mac mini Pro » grâce à un boîtier imprimé en 3D

04/11/2024 à 09:51

• 10


Les MacBook Pro de 2026 auraient un design largement remanié

04/11/2024 à 07:55

• 49


Mac mini M4 : la console de jeu vidéo d'Apple ?

03/11/2024 à 16:58

• 190


Quelle est l'annonce d'Apple qui a retenu le plus votre attention ?

03/11/2024 à 13:31

• 59


Comment les tableaux de Grid Studio dévoilent l'intérieur des iPhone, iPod ou Game Boy

03/11/2024 à 12:40


Nouveaux accessoires USB-C : sans macOS 15.1, attendez-vous à des bugs

02/11/2024 à 19:00

• 52


Les plug-in Quick Look et macOS Sequoia ne font pas nécessairement bon ménage

02/11/2024 à 11:20

• 37