Ouvrir le menu principal

MacGeneration

Recherche

Le client macOS de Zoom ne respecte toujours aucune bonne pratique

Nicolas Furno

mardi 31 mars 2020 à 09:20 • 57

Logiciels

À l’heure du confinement, tous les services de visioconférence ont le vent en poupe, mais c’est clairement Zoom qui sort son épingle du jeu. Jusque-là surtout utilisé dans les entreprises, ce service a trouvé de nombreux adeptes chez les particuliers. Il faut dire qu’il a plusieurs avantages : il ne nécessite pas de compte, il est très simple à utiliser et il offre quelques fonctions amusantes, comme la possibilité de changer le fond derrière soi.

La webcam d’un ancien MacBook Pro (image gordon mei (CC BY-NC-ND 2.0))

Mais Zoom, c’est aussi cette app qui permettait d’activer la webcam d’un Mac à distance sans votre autorisation. Cette faille de sécurité a été rapidement corrigée dans la foulée, y compris par Apple depuis ses serveurs, mais l’app n’est pas un bon élève sur le Mac pour autant. Pour preuve, son installation ne respecte absolument aucune bonne pratique de macOS, puisque tout est fait à partir du script chargé en théorie de vérifier si une app peut être installée.

Pour installer le client macOS de Zoom, vous ne téléchargez pas directement une app, mais un fichier pkg qui va servir à installer les ressources nécessaires. C’est une pratique courante et parfaitement légitime, surtout pour les apps les plus complexes. Pour installer l’app, il faut alors ouvrir ce fichier et suivre les instructions. La première étape vérifie que vous pouvez effectuer l’installation, il s’agit en général essentiellement de comparer la version installée de macOS avec les versions compatibles avec l’app.

Cette étape repose sur un script qui devrait être assez simple, puisque l’installation des ressources est effectuée dans la suite du processus. Pas pour Zoom, qui a choisi de tout placer dans ce tout premier script de vérification. Long de 466 lignes, il effectue l’intégralité des opérations d’installation de toutes les ressources nécessaires et ferme la fenêtre d’installation de macOS dans la foulée. Cette pratique n’est pas mauvaise en soi, et d’ailleurs le script révèle que Zoom se contente d’installer l’app comme le ferait l’assistant dédié aux paquets de macOS.

Ce script est censé uniquement vérifier si Zoom peut être installé sur un Mac. Comme en témoigne sa longueur (plus de 460 lignes), il fait en vérité bien plus que cela, puisque c’est lui qui se charge de tout installer (image @cabel).

Le plus gênant, c’est que le processus se fait sans l’aval de l’utilisateur. En temps normal, une fois les vérifications effectuées, vous pouvez interrompre l’installation, jeter le fichier pkg et il ne se sera rien passé. Avec Zoom, c’est déjà trop tard, tout est installé sur votre Mac. Plus gênant, le script demande le mot de passe de la session et il pourrait faire absolument tout et n’importe quoi dans la foulée, ce qui est la porte ouverte pour des failles de sécurité. Au passage, une installation propre est possible avec quelques commandes dans le terminal.

Pour ne rien arranger, le script est bourré de fautes et l’ensemble ressemble plus au travail bâclé d’un amateur qu’à un outil professionnel. Le travail est fait malgré tout et ce n’est pas un problème en soi, mais comme le souligne le blogueur John Gruber, cela prouve à nouveau que Zoom n’a pas une attitude très sérieuse en matière de sécurité des données. Ce n’est pas une entreprise malveillante, mais ses apps ne sont pas développées avec le sérieux nécessaire pour un service si populaire et qui manipule des données aussi sensibles qu’un flux vidéo de votre domicile.

Si vous avez vraiment besoin de Zoom, John Gruber recommande ainsi soit de passer par la version web du service, soit d’utiliser la version iOS. Certes, celle-ci vient de faire la polémique parce qu’elle envoyait inutilement des données à Facebook, prouvant une fois de plus que la sécurité des données personnelles est vraiment prise à la légère par l’entreprise. Mais il y a au moins la validation de l’App Store et le processus d’installation imposé par Apple pour éviter les dérives.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

iPhone 16 Pro : pour 568 $ de composants, 6 % de plus que pour l’iPhone 15 Pro

14:08


IA : Apple voudrait l’expertise de Foxconn pour son infrastructure serveur

11:45

• 10


Microsoft Office pour Mac est à prix cassé chez Godeal24 ! 📍

09:33


L'écran des Raspberry Pi passe au 720p, c'est le futur

09:00

• 9


Refurb : jusqu'à -370 € sur l'Apple Studio Display 5K avec pied ou VESA 🆕

06:57

• 31


Nouvelle vague de licenciement chez Mozilla, qui remercie 30 % de son personnel

05/11/2024 à 22:00

• 27


Intel pourrait (encore) abandonner ses cartes graphiques

05/11/2024 à 21:30

• 14


Apple prévient les investisseurs que ses futurs produits pourraient ne pas être aussi rentables que l'iPhone

05/11/2024 à 21:00

• 49


Mais qu’est-ce qu’Apple va donc faire de Pixelmator ?

05/11/2024 à 20:30

• 9


Écrans ProMotion 90 Hz : le compromis d’Apple pour l’iMac, le Studio Display et l’iPad Air ?

05/11/2024 à 19:30

• 30


Soutenez MacGeneration en commandant notre magazine collector

05/11/2024 à 18:55

• 77


Utilisez-vous la disposition des fenêtres en mosaïque de macOS Sequoia ?

05/11/2024 à 18:15

• 51


Intel abandonne la RAM soudée sur le CPU, un concept copié sur Apple

05/11/2024 à 17:00

• 74


Asahi Linux pas pour tout de suite sur les Mac M3 et M4

05/11/2024 à 15:34

• 13


Avec visionOS 2.2, le Vision Pro devient un meilleur écran externe pour les Mac

05/11/2024 à 14:19


Indonésie : Apple propose un investissement de 10 millions de dollars pour lever le blocage des ventes d’iPhone 16

05/11/2024 à 12:33

• 16