Qu'est-ce que le Zoombombing ? Comment il se produit et 7 moyens de l'empêcher

Cet article est un guide indépendant. Il n'est ni affilié ni approuvé par Zoom Communications, Inc.

Imaginez la scène : votre réunion trimestrielle est en cours depuis cinq minutes. Le PDG présente les résultats financiers. Soudain, un inconnu apparaît à l'écran, diffuse de la musique à plein volume et publie des images offensantes dans le chat. En quelques secondes, 200 employés sont confrontés à un contenu que personne ne devrait voir au travail.

Ce scénario s'est produit des milliers de fois en 2020 et 2021. Le FBI a émis un avertissement public. Des écoles ont suspendu les cours virtuels. Des tribunaux ont commencé à poursuivre les auteurs. Et un nouveau mot est entré dans le vocabulaire : le zoombombing.

Bien que la pire vague ait eu lieu au début de la pandémie, le zoombombing n'a pas disparu. Les rapports du FBI Internet Crime Complaint Center montrent que les perturbations de réunions se produisent encore, en particulier dans les organisations qui négligent les paramètres de sécurité de base.

Ce guide explique ce qu'est le zoombombing, comment les intrus s'introduisent, 7 étapes concrètes pour le prévenir et comment réagir si cela vous arrive. Que vous animiez un standup de 10 personnes ou un webinaire de 500 participants, ces mesures s'appliquent.

Comment le zoombombing se produit-il ?

Le zoombombing ne nécessite pas de compétences avancées en piratage. Dans la plupart des cas, les intrus accèdent à la réunion par l'une de ces quatre voies :

Liens de réunion partagés publiquement. Quelqu'un publie un lien de réunion sur les réseaux sociaux, un canal Slack public ou un site web. Toute personne qui clique peut rejoindre la réunion si celle-ci n'a pas de mot de passe ni de salle d'attente. Pendant la pandémie, les enseignants partageaient fréquemment les liens de cours sur les sites d'établissements scolaires, ce qui en faisait des cibles faciles.

Devinette d'identifiant de réunion. Les identifiants par défaut de Zoom comportaient de 9 à 11 chiffres. Des chercheurs de l'université de Boston ont démontré en 2020 que des scripts automatisés pouvaient deviner des identifiants valides en testant des combinaisons de chiffres. Zoom a depuis ajouté des mots de passe par défaut, mais les réunions dont le mot de passe est désactivé restent vulnérables.

Partage interne. Un participant transmet le lien ou les identifiants de la réunion à une personne extérieure au groupe, intentionnellement ou en transférant une invitation de calendrier. C'est le vecteur le plus difficile à prévenir par la technologie seule.

Réutilisation de l'identifiant personnel de réunion. Chaque compte Zoom dispose d'un identifiant personnel de réunion (PMI) permanent. Si vous utilisez le même PMI pour toutes vos réunions et que vous le partagez une seule fois, toute personne l'ayant enregistré peut rejoindre vos futures réunions sans invitation.

Comprendre ces points d'entrée est essentiel, car chaque mesure de prévention ci-dessous en ferme un ou plusieurs.

Pourquoi les gens font-ils du zoombombing ?

Les motivations varient, mais elles se répartissent généralement en trois catégories.

Trolling et recherche d'attention. Le groupe le plus important est constitué de trolls cherchant à provoquer une réaction. En 2020, des forums entiers et des serveurs Discord organisaient des « raids Zoom » où les utilisateurs partageaient des liens de réunions et coordonnaient les perturbations. L'objectif : se divertir aux dépens des autres.

Harcèlement et discours de haine. Certaines attaques sont ciblées. En 2020, l'Anti-Defamation League a signalé une recrudescence de zoombombings comportant des contenus racistes, antisémites et homophobes dirigés contre des communautés spécifiques. Les offices religieux virtuels, les groupes de soutien et les événements culturels étaient des cibles fréquentes.

Espionnage industriel et vol de données. Moins fréquent mais plus dommageable. Un participant non invité rejoint silencieusement une réunion, désactive sa caméra et écoute des discussions confidentielles. Ce type de zoombombing est plus difficile à détecter, car l'intrus ne souhaite pas être remarqué.

La troisième catégorie explique pourquoi la prévention compte même pour les réunions internes d'équipe, où l'on pourrait penser que « personne ne viendrait nous déranger ». L'écoute clandestine est un risque réel pour les entreprises qui discutent de feuilles de route produit, de résultats financiers ou de décisions RH.

Paramètres de sécurité Zoom à vérifier dès aujourd'hui

Au-delà des 7 étapes précédentes, Zoom a ajouté plusieurs fonctionnalités de sécurité depuis la vague de 2020. Voici une liste de contrôle rapide pour votre compte :

• Bouton « Suspendre les activités des participants ». Ajouté fin 2020, ce bouton d'urgence met en pause toute la vidéo, l'audio, le partage d'écran, l'enregistrement et les salles de répartition en un seul clic. Trouvez-le sous l'icône du bouclier de sécurité dans la barre d'outils. Utilisez-le dès qu'une perturbation commence.
• « Notification de réunion à risque ». Zoom analyse les publications sur les réseaux sociaux à la recherche de liens de réunion. Si le vôtre apparaît, vous recevrez un e-mail d'avertissement vous recommandant de modifier les paramètres ou de créer un nouveau lien.
• Utilisateurs authentifiés uniquement. Dans Paramètres > Sécurité, activez « Seuls les utilisateurs authentifiés peuvent rejoindre ». Les participants doivent être connectés à un compte Zoom avant de pouvoir entrer. Pour les réunions d'entreprise, restreignez davantage l'accès aux utilisateurs possédant le domaine e-mail de votre organisation.
• Chiffrement de bout en bout (E2EE). Disponible pour les réunions jusqu'à 200 participants. Une fois activé, même les serveurs de Zoom ne peuvent accéder au contenu de la réunion. Accédez à Paramètres > Sécurité > « Autoriser l'utilisation du chiffrement de bout en bout » et activez.
• Filigrane. Zoom peut superposer l'adresse e-mail de chaque participant sur le contenu partagé et intégrer un filigrane audio dans la réunion. Si quelqu'un divulgue un enregistrement, vous pouvez remonter à la source.

Parcourez cette liste une fois et vos réunions seront bien protégées. La plupart de ces paramètres s'activent en moins d'une minute.

Que faire si votre réunion est victime de zoombombing

Même avec des précautions, des perturbations peuvent survenir. Peut-être que quelqu'un a transféré le lien, ou vous avez hérité d'une réunion avec des paramètres faibles. Voici un plan d'action étape par étape :

1. Cliquez immédiatement sur « Suspendre les activités des participants ». Tout s'arrête d'un coup. L'intrus ne peut plus partager son écran, réactiver son micro ni envoyer de messages dans le chat. Vous disposez du temps nécessaire pour réagir sans que la perturbation ne se poursuive.

2. Identifiez et supprimez l'intrus. Ouvrez le panneau Participants. Repérez les noms inconnus ou génériques comme « iPhone » ou « Utilisateur ». Supprimez-les et cochez l'option de blocage de retour.

3. Verrouillez la réunion. Une fois l'intrus supprimé, verrouillez la réunion pour empêcher toute autre entrée.

4. Reconnaissez ce qui s'est passé. Dites aux participants : « Nous venons de subir une perturbation non autorisée. La personne a été supprimée et la réunion est verrouillée. » Ne faites pas comme si rien ne s'était passé. Si le contenu était offensant, reconnaissez-le et prenez des nouvelles de votre équipe après la réunion.

5. Documentez tout. Sauvegardez le journal du chat, notez le nom affiché de l'intrus et toute information de profil visible, et conservez l'enregistrement si vous enregistriez. Ces preuves sont essentielles pour tout signalement.

6. Signalez l'incident. Déposez un signalement auprès de l'équipe Trust & Safety de Zoom. Si la perturbation comprenait des menaces, du discours de haine ou du contenu illégal, signalez-la également aux autorités locales et au FBI IC3.

7. Analysez et mettez à jour vos paramètres. Après la réunion, déterminez comment l'intrus est entré. Quelqu'un a-t-il partagé le lien publiquement ? La salle d'attente était-elle désactivée ? Utilisez la réponse pour combler cette faille spécifique à l'avenir.

Prenons un cas concret : une association organise une collecte de fonds virtuelle et subit un zoombombing cinq minutes après le début du discours principal. L'hôte se fige. Mais le co-hôte, qui avait lu un guide comme celui-ci, suspend immédiatement les activités des participants, supprime l'intrus et verrouille la réunion. Le discours reprend 90 secondes plus tard. La préparation fait la différence entre 90 secondes d'interruption et 20 minutes de chaos qui vident la salle.

Le zoombombing est-il illégal ?

Oui, le zoombombing peut constituer une infraction pénale. Les charges spécifiques dépendent des actes de l'auteur et de sa localisation, mais les conséquences juridiques sont bien réelles.

Poursuites fédérales aux États-Unis. Le FBI et le ministère de la Justice ont qualifié certains incidents de zoombombing de crimes fédéraux. En vertu du Computer Fraud and Abuse Act (CFAA), l'accès non autorisé à un système informatique peut entraîner des peines allant jusqu'à 5 ans de prison. Lorsque la perturbation implique des menaces ou du discours de haine, des charges supplémentaires s'appliquent en vertu des lois fédérales sur le harcèlement et les droits civiques.

Poursuites au niveau des États. Plusieurs États américains ont poursuivi des zoombombers en vertu de lois existantes. En 2020, un homme de Californie a été inculpé de « crimes informatiques liés à la perturbation d'un cours en ligne ». Le Texas, New York et le Michigan ont mené des affaires similaires. Les charges comprennent généralement l'accès informatique non autorisé, le harcèlement et le trouble à l'ordre public.

Application internationale de la loi. Le Communications Act 2003 du Royaume-Uni couvre les communications électroniques « grossièrement offensantes ». Le Code criminel du Canada traite de l'utilisation non autorisée de systèmes informatiques. Le Criminal Code Act australien inclut des infractions pour l'accès non autorisé à des données protégées.

Responsabilité civile. Au-delà des poursuites pénales, les auteurs de zoombombing s'exposent à des poursuites civiles. Si l'attaque a causé un préjudice mesurable (annulation d'un événement, détresse émotionnelle des participants, perte commerciale), la victime peut demander des dommages et intérêts.

La question juridique clé est de savoir si la réunion était « ouverte au public ». Si vous publiez un lien de réunion sur un site web public sans mot de passe, il est plus difficile d'arguer que la personne qui a cliqué a commis un accès non autorisé. C'est une raison supplémentaire d'utiliser systématiquement des mots de passe et des salles d'attente : ils établissent une limite claire dont la violation est illégale.

En résumé : le zoombombing n'est pas un simple « trolling ». Il peut entraîner des poursuites pénales, des amendes et des peines de prison.

Le zoombombing se produit-il encore en 2026 ?

La vague explosive de 2020-2021 s'est atténuée, mais le zoombombing n'a pas cessé. Trois facteurs le maintiennent :

Les paramètres par défaut ne couvrent pas tout. Zoom a activé les mots de passe et les salles d'attente par défaut en avril 2020. Cela a bloqué les attaquants occasionnels qui devinaient les identifiants de réunion. Mais les administrateurs peuvent (et désactivent) ces paramètres par commodité. Les organisations qui privilégient la facilité d'accès au détriment de la sécurité restent vulnérables.

Nouvelles plateformes, même problème. Le zoombombing porte le nom de Zoom, mais les mêmes attaques se produisent sur Google Meet, Microsoft Teams, Webex et pratiquement toute plateforme utilisant des liens de réunion partageables. Une étude de Stanford sur l'enseignement à distance a révélé que les perturbations de réunions se produisaient sur toutes les grandes plateformes, pas seulement Zoom.

Les événements hybrides augmentent l'exposition. À mesure que les entreprises organisent davantage d'événements hybrides avec des participants en présentiel et à distance, les liens de réunion sont distribués plus largement. Un lien envoyé à 50 personnes peut être transféré à 500. Chaque transfert est une fuite potentielle.

Le risque est plus faible qu'en 2020, mais il n'est pas nul. Toute organisation organisant des événements virtuels publics, des cours en ligne ou des réunions communautaires devrait considérer la prévention du zoombombing comme une pratique standard, et non comme un vestige de la pandémie.

Si vous cherchez des informations sur la configuration sécurisée d'une réunion Zoom ou un guide général sur l'utilisation de Zoom, ces guides couvrent l'ensemble du processus de configuration avec la sécurité à l'esprit.

Au-delà des liens de réunion : comment les plateformes spatiales abordent le problème différemment

Les outils de visioconférence traditionnels partagent une faiblesse structurelle : le lien de réunion. Une seule URL donne un accès complet à l'ensemble de la salle. Si cette URL fuite, n'importe qui peut entrer.

Les plateformes de réunion spatiales adoptent une approche différente. Au lieu d'une salle de réunion unique, vous disposez d'un espace virtuel où les participants se déplacent sous forme d'avatars. Les conversations fonctionnent par proximité : vous entendez les personnes proches et n'entendez pas celles qui sont éloignées.

Cette architecture modifie le modèle de sécurité de trois façons :

1. Un seul lien ne donne pas accès à toutes les conversations. Même si une personne non invitée entre dans l'espace, elle ne peut entendre que la conversation à côté de laquelle elle se trouve. Les autres groupes de l'autre côté de la salle sont privés par défaut.

2. Détection visuelle de présence. Dans un appel Zoom à 100 personnes, un inconnu passe inaperçu facilement. Dans une salle spatiale, un avatar inconnu posté près de votre groupe est immédiatement repérable. Vous pouvez vous éloigner et poursuivre votre conversation ailleurs.

3. Salles privées au sein de l'espace. Les plateformes spatiales comme Flat.social comprennent des zones fermées dont les murs bloquent le son. Entrez, et personne à l'extérieur ne peut vous entendre. Pas besoin de mot de passe : la confidentialité est intégrée dans la géométrie de l'espace.

Cela ne rend pas la visioconférence traditionnelle obsolète. Zoom et Teams restent le meilleur choix pour les présentations structurées et les réunions formelles. Mais pour les activités d'équipe, les événements de networking et la collaboration informelle, les plateformes spatiales éliminent la vulnérabilité de sécurité à sa racine : le lien de réunion partageable.

Si le zoombombing a été une préoccupation pour votre organisation, il vaut la peine d'explorer les alternatives aux visioconférences traditionnelles qui abordent le problème sous un angle différent.

Zoom est une marque déposée de Zoom Communications, Inc. Google Meet est une marque déposée de Google LLC. Microsoft Teams est une marque déposée de Microsoft Corporation. Webex est une marque déposée de Cisco Systems, Inc. Cet article n'est ni affilié, ni approuvé, ni sponsorisé par aucune de ces entreprises.