Questionnée par Next INpact, la DINUM, administration en charge de la transformation numérique de l’État, recommande aux agents de l’État de ne surtout pas utiliser Zoom, la célèbre application de visioconférence.

Elle est utilisée par des profs, le secteur privé à l’Assemblée nationale, par le ministre de l’Éducation ou des chefs d’État. Avec la pandémie Covid-19, le service connaît sans surprise un succès fulgurant. Elle comptait en mars dernier 200 millions d’utilisateurs quotidiens dans le monde, contre… 10 petits millions en décembre 2019. 

La généralisation des mesures de confinement est un véritable appel d’air au profit de cette solution de visioconférence (gratuite ou payante). Cependant, en coulisse de ce succès commercial, l’attention des chercheurs en sécurité a permis de lever le voile sur une accumulation sans précédent de failles.

• Zoom, retour sur une accumulation de failles

Contactée par nos soins, la Direction interministérielle du numérique n’y va pas par quatre chemins : elle « déconseille fortement l’utilisation de Zoom, compte tenu des risques sur la protection des données et des failles constatées qui n’apportent pas les garanties nécessaires pour un usage professionnel par les agents de l’État » nous explique-t-elle. « En complément de ce qui est fait dans certains ministères, la DINUM travaille à accélérer le développement de l’offre d’outils de webconférence pour les agents publics ».

Affluence vers le service Webconférence

Depuis janvier 2020, l’État met à la disposition de tous ses agents un service interministériel pour favoriser le travail à distance. Réunions, conférences, présentations, formations ou webinaires. Ce service Webconférence « a vu son utilisation multipliée par 5 » détaille la DINUM, non sans préciser que la solution « utilise le logiciel open-source Jitsi ».

Tout agent de l’État, connecté au réseau interministériel de l’État (RIE), a la possibilité de créer librement un salon Webconférence. Un lien est ensuite partagé aux participants qui peuvent rejoindre le salon, peu importe l’écran connecté. La solution s’inscrit dans le cadre du « TECH.GOUV », un programme d’accélération de la transformation numérique du service public, piloté par la DINUM. Son action n°5  vise justement à déployer un tel outil.

Cette multiplication par 5 de l’affluence « a conduit la DINUM à rechercher des solutions complémentaires pour absorber la demande accrue en conférences vidéo, et en évitant autant que possible les saturations. En cela, elle a été aidée par la mobilisation des entreprises numériques implantées sur le territoire national, qui se sont par ailleurs manifestées suite à l’appel du secrétaire d’État chargé du numérique Cédric O, pour mettre à disposition gratuitement leurs solutions pendant le temps de la crise actuelle liée au Covid-19 ».

Plusieurs solutions, en cours d'évaluation, conseillées 

Contrairement à Zoom, ces solutions en cours d’évaluation « sont conseillées aux directions du numérique ministérielles et aux agents de l’État ». Quelles sont-elles ? « Par exemple, la DINUM recommande Tixeo, qui est un service qualifié par l’Agence nationale de la sécurité des systèmes d'information (ANSSI), ou encore les instances du logiciel Jitsi créées par Scaleway et accessibles sur ensemble.scaleway.com. De façon non exhaustive, sont également en cours d’évaluation Livestorm, BigBlueButton, ou encore Rainbow (AlcatelLucent) ».

Les yeux au-delà de la pandémie, la DINUM juge « probable qu’une fois la crise passée, l’appétence pour les solutions de webconférence des agents publics ne retombera pas au niveau d’avant crise. Les travaux actuels, avant tout menés dans l’urgence pour faciliter le travail des agents publics confinés pendant la crise, doivent donc aussi servir à renforcer l’offre de solutions de confiance qui pourront être mises à leur disposition de façon pérenne. »

Tixeo Server, solution qualifiée par l'ANSSI

L'ANSSI, également contactée, recommande en effet des solutions uniquement dans le cadre de son Visa de sécurité. Et elles ne sont pas nombreuses en la matière : « Il existe une solution de vidéo-conférence qualifiée par l'agence : il s'agit de Tixeo Server ».

Elle fait l’objet d’une présentation sur le site de l’Agence pour la sécurité des systèmes d’information : « un système de vidéo-conférence à installer en interne chez le client », avec « voix, vidéo en multipoints, des fonctions de partage d’écran », et « fort niveau de confidentialité des communications ».